Formação de Sensibilização para a Segurança Baseada no Papel Materiais de formação de alfaiates e mecanismos de entrega para se adequarem ao papel de um empregado e reduzir o risco cibernético associado a esse papel.
O mundo é um lugar complexo e diversificado e as pessoas dentro dele são um cadinho de capacidades, aptidões e atitudes. Dentro de uma empresa, esta diversidade é muitas vezes bem aproveitada, criando papéis específicos que potenciam estas diferentes capacidades e aptidões.
O facto de as pessoas trabalharem em funções específicas numa organização não se perde nos cibercriminosos. Os autores de fraudes costumam adaptar os seus ataques em função do alvo. Por exemplo, os ataques ao Business Email Compromise (BEC) envolvem normalmente um enfoque nos funcionários em funções superiores e no papel das contas a pagar. Os autores de fraudes adaptam as campanhas de phishing ou outros ataques de engenharia social para reflectir o título de trabalho de um indivíduo, ao fazê-lo, aproveitam traços humanos intrínsecos como a confiança, para assegurar o sucesso.
No entanto, se os autores de fraudes utilizam engenharia social baseada em papéis e phishing para melhorar o sucesso dos seus ataques cibernéticos, então dois podem jogar esse jogo.
Formação de Sensibilização para a Segurança Baseada em Papéis para Parar a Phishing Baseada em Papéis
Os cibercriminosos gostam de garantir que qualquer campanha que concebam será um sucesso: sabem que quanto mais personalizado for um e-mail de phishing, mais provável é que o alvo acredite que o e-mail é real e depois clique num link malicioso ou actue sobre o pedido de e-mail para mudar de banco e enviar dinheiro urgentemente, etc.
A pesca submarina é frequentemente a arma de eleição quando um cibercriminoso tem como alvo um papel específico numa organização. Esta forma de phishing apresenta mensagens altamente personalizadas para manipular certos tipos de empregados. Os papéis típicos que estão sujeitos a ataques de spear-phishing são:
- Executivos e assistentes executivos de nível C
- Folha de pagamento
- RH
- Finanças e contas a pagar
- Utilizadores privilegiados
Executivos e assistentes executivos de nível C: As fraudes "Whaling" e BEC(Business Email Compromise) centram-se nos executivos de nível C de uma organização alvo. Os fraudadores podem também visar os assistentes executivos, utilizando engenharia social e spear-phishing para obter acesso à conta de correio electrónico do CEO ou a outras informações pessoais. As mensagens de correio electrónico comprometidas ou falsificadas do CXO são utilizadas para iniciar a fraude do BEC.
Departamento de folhas de pagamento: os fraudadores visam os empregados que gerem os pagamentos de salários dos empregados, para redireccionar dinheiro para a conta bancária de um burlão. Por exemplo, o burlão pode falsificar o e-mail de um empregado a pedir a folha de pagamento para alterar os detalhes da sua conta bancária.
Recursos Humanos (RH): Os RH residem sobre informação altamente confidencial e pessoal. Isto faz com que esse papel corra o risco de campanhas de spear-phishing procurando obter acesso a dados que podem depois ser alavancados em novos ataques. O RH torna-se então parte de uma tentativa de fraude mais complexa e multifacetada, como a fraude BEC e a fraude salarial; um funcionário de RH pode ser enganado na revelação de informação sobre um executivo de nível C ou outro funcionário para obter a inteligência necessária para levar a cabo a fraude.
Finanças e contas a pagar: o departamento que detém as cordas da bolsa fazem um alvo óbvio para os cibercriminosos. A fraude BEC, por exemplo, acaba frequentemente à porta das contas a pagar. Mas há muitos tipos de fraude que se concentram neste papel. A fraude das contas a pagar é generalizada e um relatório concluiu que 50% das pequenas empresas no Reino Unido foram expostas a este tipo de fraude, quer por ameaças internas ou externas.
Utilizadores privilegiados: os cibercriminosos visam os utilizadores privilegiados uma vez que têm as 'chaves do castelo corporativo'. Aos utilizadores privilegiados são concedidos direitos de acesso a áreas sensíveis de uma rede, e como tal, oferecem uma rota directa para essa rede a qualquer cibercriminoso que os possa enganar para lhes entregar as suas credenciais ou descarregar malware. Um relatório concluiu que 63% das organizações consideram que os utilizadores privilegiados apresentam o maior risco de ameaça interna.
Simulação de Phishing dentro de Programas de Formação de Sensibilização para a Segurança Baseada em Papéis
O phishing simulado é uma óptima forma de educar os empregados sobre phishing e ameaças cibernéticas. Ao adaptar as mensagens simuladas de phishing aos papéis dentro da sua força de trabalho, pode simular as mesmas tácticas utilizadas pelos cibercriminosos ao visar um grupo específico dentro de uma organização. Isto torna a simulação de phishing mais real e específica para o papel desse indivíduo.
Para realizar simulações de phishing baseadas em funções, uma plataforma deve suportar modelos de phishing que possam ser adaptados por rolo. Por exemplo, os títulos de phishing baseados em papéis reflectem os tipos de papéis que são frequentemente alvo de spear-phishing.
Exemplos de ataques de Phishing com base em papéis
Alvo privilegiado do utilizador: O grupo de hacking Lazarus é infame para o ataque de resgate do WannaCry em 2017. Mais recentemente, o grupo tem utilizado campanhas de phishing direccionadas, baseadas em ofertas de trabalho falsificadas, que se concentram em utilizadores privilegiados. Uma das mais recentes foi o alvo de um administrador de sistema de plataforma de criptografia de moeda. O administrador do sistema recebeu um documento de phishing a coberto de uma oferta de emprego através da sua conta pessoal no LinkedIn.
Contas a pagar: O Facebook e o Google foram enganados em mais de 100 milhões de dólares por um defraudador que visava os empregados dos dois gigantes da tecnologia através da utilização de mensagens de correio electrónico de pesca submarina destinadas a determinados papéis de utilizador.
Fraude de mandato salarial: as campanhas de phishing que envolvem o roubo de cheques de remuneração de empregados são um campo de alimentação ideal para golpistas motivados financeiramente. Muitas vezes, os golpistas enviam e-mails ao pessoal de RH ou Payroll com um pedido de mudança de conta bancária. O e-mail de phishing muitas vezes falsifica um empregado real e inclui a sua assinatura de e-mail e parece ser de um domínio interno da empresa. Se a alteração for feita, o salário do empregado é pago para a conta bancária do fraudador.
Razões para adaptar a formação de sensibilização para a segurança
O Spear-phishing é um dos favoritos do fraudador focado no papel e tem muito sucesso devido à natureza direccionada deste tipo de phishing. De acordo com um relatório da Symantec, o Spear-phishing é utilizado como o principal vector em 65% dos ataques cibernéticos. Ao visar papéis específicos de funcionários, os cibercriminosos podem criar esquemas complexos e em várias etapas que funcionam.
Programas de treino baseados em papéis e phishing simulado associado baseado em papéis fornece um programa à medida para a educação que bate os cibercriminosos no seu próprio jogo. Ensinar os empregados sobre a natureza exacta do phishing e dos esquemas de engenharia social que visam especificamente o seu papel, capacita os empregados com conhecimentos para escrutinarem cuidadosamente os e-mails e outras comunicações.