Os testes de phishing podem ser uma forma eficaz de melhorar a sensibilização para a cibersegurança, capacitar os funcionários e defender-se contra ataques informáticos.

O phishing tornou-se agora a maior ameaça cibernética a nível mundial e, no último ano, as burlas aumentaram 350% à medida que os cibercriminosos exploram o medo e o caos causados pela pandemia do coronavírus. Os ataques de engenharia social, como o phishing, baseiam-se na capacidade do atacante de explorar as vulnerabilidades e emoções humanas para atingir os seus objectivos.

Com uma grande parte da força de trabalho a continuar a trabalhar a partir de casa, é vital que os empregados possam reconhecer ameaças sofisticadas de phishing nas suas caixas de correio eletrónico e saibam como lidar com elas de forma adequada.

O que é um teste de phishing?

Um teste de phishing, ou A simulação de phishing, como também é conhecida, é utilizada pelas organizações para determinar o grau de suscetibilidade do seu pessoal a ataques de phishing. Utilizando um ambiente seguro e controlado, as organizações podem enviar aos empregados mensagens de correio eletrónico de phishing realistas para avaliar o seu conhecimento dos métodos de ataque e descobrir como reagiriam se a ameaça fosse real.

Estes ataques simulados ajudam os colaboradores a identificar as ameaças actuais e fornecem formação atempada sobre como podem melhorar os comportamentos de segurança. Se um funcionário clicar num phishing, é-lhe imediatamente apresentada uma experiência de aprendizagem pontual para o ajudar a reconhecer os sinais de um ataque de phishing e incentivá-lo a denunciar tentativas de phishing.

As organizações podem, por sua vez, utilizar estes dados para identificar áreas de fraqueza, adaptar a formação para colmatar as lacunas na sensibilização e registar os progressos ao longo do tempo.

Como realizar um teste de phishing eficaz

Teste de phishing

Estabelece uma linha de base

Antes de lançar o seu programa de sensibilização para o phishing, terá de estabelecer uma linha de base. Isto ajudará a determinar o grau de suscetibilidade da sua empresa a e-mails de phishing fraudulentos e que percentagem dos seus empregados teria caído no ataque se este fosse real.

Podes informar os empregados de que vais fazer um teste de phishing, explicando quais são os teus objectivos e o que esperas alcançar, ou podes fazer um teste de phishing surpresa sem qualquer instrução prévia.

Esta decisão cabe inteiramente à tua organização, embora esta última ofereça a imagem mais clara da vulnerabilidade do teu pessoal a ataques de phishing no mundo real. Depois de registar a sua linha de base, pode utilizar estes resultados como referência para controlar a eficácia de futuros testes de simulação de phishing.

Planeia o teu teste de phishing

Assim que tiveres estabelecido uma linha de base, podes começar a planear a tua campanha de phishing para o ano seguinte. Nesta fase, os empregados devem ser notificados e receber formação sobre como identificar um e-mail suspeito e o que fazer se o receberem.

Em qualquer campanha de phishing, é melhor começar com algo pequeno e depois ir aumentando. Os teus testes iniciais de phishing devem ser relativamente fáceis de detetar e incluir sinais clássicos de um e-mail de phishing, como uma saudação genérica, erros ortográficos e má gramática.

No entanto, à medida que a tua campanha avança, o nível de dificuldade deve aumentar para refletir os ataques do mundo real que podem ser utilizados para atingir o teu pessoal.

Escalonar o lançamento do teste de phishing

O timing é fundamental para o sucesso do teu teste de phishing. Um erro comum é enviar um teste de phishing geral para toda a organização ao mesmo tempo. Isto só levanta suspeitas e os funcionários que identificaram o e-mail como um phishing começarão a alertar os colegas.

Se não queres acabar com resultados distorcidos, deves escalonar o teu teste de phishing em diferentes intervalos de tempo para garantir relatórios mais precisos.

Inclui executivos seniores nos testes de phishing

teste de phishing para executivos seniores

Todos os utilizadores são susceptíveis a ataques de phishing, mas há certos funcionários que têm um perfil de risco mais elevado do que outros. Os CEOs, CFOs e executivos seniores são alguns dos alvos de phishing mais populares devido ao seu acesso de alto nível a informações empresariais valiosas.

É vital que estes funcionários sejam incluídos em todos os testes de phishing, não só do ponto de vista do risco, mas também para demonstrar aos outros funcionários que estão a levar a cibersegurança a sério.

Utiliza uma variedade de métodos

Os testes de simulação de phishing devem refletir com precisão as diferentes ameaças que os seus empregados enfrentam no dia a dia. Os cibercriminosos estão a tornar-se mais engenhosos nos seus métodos de ataque, pelo que os seus testes de phishing têm de refletir isso mesmo. Embora muitos funcionários estejam atentos a ataques externos, podem ser mais complacentes com e-mails que parecem vir de dentro da organização.

Podem ser enviados e-mails fazendo-se passar pelo departamento de RH, informando o pessoal sobre o subsídio de férias ou a folha de pagamentos. Ao misturares os estilos e as técnicas do teu teste, terás uma melhor compreensão da consciencialização dos empregados.

Analisa os dados

Os dados produzidos pelos teus testes de phishing são cruciais para descobrir se a tua campanha foi bem sucedida. Ajudar-te-á a identificar tendências, funcionários vulneráveis, necessidades de formação e a planear futuros testes de phishing.

Os teus relatórios devem analisar:

  • Número de pessoas que clicaram.
  • Número de pessoas que enviaram informações sensíveis.
  • Número de pessoas que denunciaram o e-mail de phishing.

Com o tempo, deverás ver uma diminuição nas duas primeiras categorias e um aumento nas denúncias. Os funcionários que clicaram no e-mail de phishing e/ou enviaram informações sensíveis devem receber formação adicional para melhorar os comportamentos de segurança.

Os funcionários têm de compreender as consequências reais de um ataque de phishing e porque é tão importante que consigam identificar eficazmente uma suspeita de phishing. Não se trata de apanhar as pessoas, mas de medir a sensibilização e identificar as áreas que podem ser melhoradas.

Da mesma forma, os funcionários que demonstraram bons comportamentos de segurança, identificando e-mails de phishing e comunicando-os ao pessoal de TI, devem ser elogiados.

Introduzir a formação sobre phishing como parte de um programa mais vasto de sensibilização para a cibersegurança

Para serem verdadeiramente eficazes, os testes de phishing devem ser introduzidos como parte de um programa mais vasto de sensibilização para a cibersegurança. Esta é a melhor maneira de educar o pessoal, melhorar os comportamentos de segurança e criar uma força de trabalho mais resistente ao ciberespaço. Pode escolher tópicos que abordem os riscos da sua organização e utilizar uma abordagem mista para envolver o pessoal e aumentar a sensibilização.

Para além dos teus testes de phishing, podem ser utilizados eLearning, blogues, cartazes e infográficos para ajudar a reforçar as mensagens principais.

Considerações finais

Quando tiveres estabelecido o teu programa de sensibilização para o phishing, é importante manteres o ritmo. A criação de uma cultura de sensibilização leva tempo e não pode ser conseguida através de um exercício anual único.

Testes regulares de phishing ajudarão a aumentar a vigilância dos funcionários, melhorar a sensibilização e identificar quaisquer áreas de fraqueza que possam representar um risco para a segurança da tua organização.

O guia definitivo para o phishing