Formação de Sensibilização para a Segurança Baseada no Papel Materiais de formação de alfaiates e mecanismos de entrega para se adequarem ao papel de um empregado e reduzir o risco cibernético associado a esse papel.
O mundo é um lugar complexo e diversificado e as pessoas dentro dele são um cadinho de capacidades, aptidões e atitudes. Dentro de uma empresa, esta diversidade é muitas vezes bem aproveitada, criando papéis específicos que potenciam estas diferentes capacidades e aptidões.
O facto de as pessoas trabalharem em funções específicas numa organização não se perde nos cibercriminosos. Os autores de fraudes costumam adaptar os seus ataques em função do alvo. Por exemplo, os ataques ao Business Email Compromise (BEC) envolvem normalmente um enfoque nos funcionários em funções superiores e no papel das contas a pagar. Os autores de fraudes adaptam as campanhas de phishing ou outros ataques de engenharia social para reflectir o título de trabalho de um indivíduo, ao fazê-lo, aproveitam traços humanos intrínsecos como a confiança, para assegurar o sucesso.
No entanto, se os autores de fraudes utilizam engenharia social baseada em papéis e phishing para melhorar o sucesso dos seus ataques cibernéticos, então dois podem jogar esse jogo.
Formação de Sensibilização para a Segurança Baseada em Papéis para Parar a Phishing Baseada em Papéis
Os cibercriminosos gostam de garantir que qualquer campanha que concebam será um sucesso: sabem que quanto mais personalizado for um e-mail de phishing, mais provável é que o alvo acredite que o e-mail é real e depois clique num link malicioso ou actue sobre o pedido de e-mail para mudar de banco e enviar dinheiro urgentemente, etc.
A pesca submarina é frequentemente a arma de eleição quando um cibercriminoso tem como alvo um papel específico numa organização. Esta forma de phishing apresenta mensagens altamente personalizadas para manipular certos tipos de empregados. Os papéis típicos que estão sujeitos a ataques de spear-phishing são:
- Executivos e assistentes executivos de nível C
- Folha de pagamento
- RH
- Finanças e contas a pagar
- Utilizadores privilegiados
Executivos de nível C e assistentes executivos: As fraudes "Whaling" e BEC (Business Email Compromise) centram-se nos executivos de nível C de uma organização alvo. Os autores da fraude podem também visar os assistentes executivos, utilizando engenharia social e spear-phishing para obter acesso à conta de correio eletrónico do CEO ou a outras informações pessoais. Os e-mails comprometidos ou falsos do CXO são utilizados para iniciar a fraude BEC.
Departamento de folhas de pagamento: os fraudadores visam os empregados que gerem os pagamentos de salários dos empregados, para redireccionar dinheiro para a conta bancária de um burlão. Por exemplo, o burlão pode falsificar o e-mail de um empregado a pedir a folha de pagamento para alterar os detalhes da sua conta bancária.
Recursos Humanos (RH): Os RH residem sobre informação altamente confidencial e pessoal. Isto faz com que esse papel corra o risco de campanhas de spear-phishing procurando obter acesso a dados que podem depois ser alavancados em novos ataques. O RH torna-se então parte de uma tentativa de fraude mais complexa e multifacetada, como a fraude BEC e a fraude salarial; um funcionário de RH pode ser enganado na revelação de informação sobre um executivo de nível C ou outro funcionário para obter a inteligência necessária para levar a cabo a fraude.
Finanças e contas a pagar: o departamento que detém as cordas da bolsa fazem um alvo óbvio para os cibercriminosos. A fraude BEC, por exemplo, acaba frequentemente à porta das contas a pagar. Mas há muitos tipos de fraude que se concentram neste papel. A fraude das contas a pagar é generalizada e um relatório concluiu que 50% das pequenas empresas no Reino Unido foram expostas a este tipo de fraude, quer por ameaças internas ou externas.
Utilizadores privilegiados: os cibercriminosos visam os utilizadores privilegiados, uma vez que estes têm as "chaves do castelo da empresa". Os utilizadores privilegiados têm direitos de acesso a áreas sensíveis de uma rede e, como tal, oferecem uma via direta de acesso a essa rede a qualquer cibercriminoso que os consiga enganar para que entreguem as suas credenciais ou descarreguem malware. Um relatório concluiu que 63% das organizações consideram que os utilizadores privilegiados representam o maior risco de ameaça interna.
Simulação de Phishing dentro de Programas de Formação de Sensibilização para a Segurança Baseada em Papéis
O phishing simulado é uma óptima forma de educar os empregados sobre phishing e ameaças cibernéticas. Ao adaptar as mensagens simuladas de phishing aos papéis dentro da sua força de trabalho, pode simular as mesmas tácticas utilizadas pelos cibercriminosos ao visar um grupo específico dentro de uma organização. Isto torna a simulação de phishing mais real e específica para o papel desse indivíduo.
Para realizar simulações de phishing baseadas em funções, uma plataforma deve suportar modelos de phishing que possam ser adaptados por rolo. Por exemplo, os títulos de phishing baseados em papéis reflectem os tipos de papéis que são frequentemente alvo de spear-phishing.
Exemplos de ataques de Phishing com base em papéis
Alvo privilegiado do utilizador: O grupo de hacking Lazarus é infame para o ataque de resgate do WannaCry em 2017. Mais recentemente, o grupo tem utilizado campanhas de phishing direccionadas, baseadas em ofertas de trabalho falsificadas, que se concentram em utilizadores privilegiados. Uma das mais recentes foi o alvo de um administrador de sistema de plataforma de criptografia de moeda. O administrador do sistema recebeu um documento de phishing a coberto de uma oferta de emprego através da sua conta pessoal no LinkedIn.
Contas a pagar: O Facebook e o Google foram enganados em mais de 100 milhões de dólares por um defraudador que visava os empregados dos dois gigantes da tecnologia através da utilização de mensagens de correio electrónico de pesca submarina destinadas a determinados papéis de utilizador.
Fraude de mandato salarial:: as campanhas de phishing que envolvem o roubo de cheques de remuneração de empregados são um campo de alimentação ideal para golpistas motivados financeiramente. Muitas vezes, os golpistas enviam e-mails ao pessoal de RH ou Payroll com um pedido de mudança de conta bancária. O e-mail de phishing muitas vezes falsifica um empregado real e inclui a sua assinatura de e-mail e parece ser de um domínio interno da empresa. Se a alteração for feita, o salário do empregado é pago para a conta bancária do fraudador.
Razões para adaptar a formação de sensibilização para a segurança
O Spear-phishing é um dos favoritos do fraudador focado no papel e tem muito sucesso devido à natureza direccionada deste tipo de phishing. De acordo com um relatório da Symantec, o Spear-phishing é utilizado como o principal vector em 65% dos ataques cibernéticos. Ao visar papéis específicos de funcionários, os cibercriminosos podem criar esquemas complexos e em várias etapas que funcionam.
Programas de treino baseados em papéis e phishing simulado associado baseado em papéis fornece um programa à medida para a educação que bate os cibercriminosos no seu próprio jogo. Ensinar os empregados sobre a natureza exacta do phishing e dos esquemas de engenharia social que visam especificamente o seu papel, capacita os empregados com conhecimentos para escrutinarem cuidadosamente os e-mails e outras comunicações.
As vantagens da personalização da formação de sensibilização para a segurança
A personalização da formação de sensibilização para a segurança oferece vantagens significativas ao abordar os riscos e desafios únicos enfrentados pelas diferentes funções dentro de uma organização. Os programas de formação genéricos muitas vezes não preparam adequadamente os funcionários para as ciberameaças específicas com que provavelmente se deparam nas suas tarefas diárias. A formação personalizada garante que os funcionários recebem formação relevante e orientada que fala diretamente dos tipos de ataques de phishing, tácticas de engenharia social e outros riscos cibernéticos que são mais pertinentes para as suas funções.
Ao adaptar a formação a departamentos e funções individuais, as organizações podem criar uma força de trabalho mais empenhada e informada, melhorando a eficácia global do programa de segurança. A principal vantagem da personalização da formação de sensibilização para a segurança é o facto de reforçar a capacidade dos funcionários para reconhecerem ameaças específicas às suas funções, reduzindo a possibilidade de violações de segurança dispendiosas. Também garante a conformidade com os regulamentos específicos do sector e promove uma cultura de segurança proactiva em toda a empresa.
A MetaCompliance oferece programas de formação personalizados, com base nas funções, concebidos para enfrentar os riscos de segurança específicos de cada função e de cada departamento. Explore a forma como a nossa formação de sensibilização para a segurança departamental pode fornecer os conhecimentos especializados de que as suas diferentes equipas necessitam para se manterem seguras.
