Os testes de phishing podem ser uma forma eficaz de melhorar a consciência da segurança cibernética, capacitar os empregados, e defender-se contra ataques cibernéticos.
O phishing tornou-se agora a maior ameaça cibernética a nível mundial e, no último ano, as burlas aumentaram 350% à medida que os cibercriminosos exploram o medo e o caos causados pela pandemia do coronavírus. Os ataques de engenharia social, como o phishing, baseiam-se na capacidade do atacante de explorar as vulnerabilidades e emoções humanas para atingir os seus objectivos.
Com uma grande parte da força de trabalho a continuar a trabalhar a partir de casa, é vital que os funcionários possam reconhecer ameaças sofisticadas de phishing nas suas caixas de correio eletrónico e saibam como lidar com elas de forma adequada.
O que é um Teste de Phishing?
Um teste de phishing, ou simulação de phishing, como também é conhecido, é utilizado pelas organizações para determinar o grau de suscetibilidade do seu pessoal a ataques de phishing. Utilizando um ambiente seguro e controlado, as organizações podem enviar aos empregados mensagens de correio eletrónico de phishing realistas para medir a sua consciência dos métodos de ataque e descobrir como reagiriam se a ameaça fosse real.
Estes ataques simulados ajudam os empregados a identificar as ameaças actuais e proporcionam uma educação atempada sobre como podem melhorar os comportamentos de segurança. Se um empregado clicar num phish, ser-lhe-á imediatamente apresentada uma experiência de aprendizagem para o ajudar a reconhecer os sinais de um ataque de phishing e encorajá-los a denunciar tentativas de phishing.
As organizações podem, por sua vez, utilizar estes dados para identificar áreas de fragilidade, formação à medida para colmatar lacunas na sensibilização, e traçar o progresso ao longo do tempo.
Como realizar um Teste de Phishing Eficaz
Estabelecer uma linha de base
Antes de lançar o seu programa de sensibilização para o phishing, terá de estabelecer uma linha de base. Isto ajudará a determinar quão susceptível é a sua empresa a e-mails fraudulentos de phishing e que percentagem dos seus empregados teria caído no ataque se este tivesse sido real.
Pode informar os empregados que irá emitir um teste de phishing, explicando quais são os seus objectivos e o que espera alcançar, ou pode emitir um teste de phishing surpresa sem qualquer pré-ensino.
Esta decisão depende inteiramente da sua organização, embora esta última ofereça a imagem mais clara da vulnerabilidade do seu pessoal a ataques de phishing no mundo real. Uma vez registada a sua linha de base, pode utilizar estes resultados como referência para acompanhar a eficácia de futuros testes de simulação de phishing.
Planeie o seuteste de Phishing
Uma vez estabelecida uma linha de base, pode começar a planear a sua campanha de phishing para o ano seguinte. Nesta fase, os empregados devem ser notificados e formados sobre como identificar um e-mail suspeito e o que fazer se o receberem.
Com qualquer campanha de phishing, o melhor é começar com uma pequena campanha e depois construir-se. Os seus testes iniciais de phishing devem ser relativamente fáceis de detectar e incluir sinais clássicos de um e-mail de phishing, tais como uma saudação genérica, erros ortográficos, e má gramática.
Contudo, à medida que a sua campanha avança, o nível de dificuldade deve aumentar para reflectir os ataques do mundo real que poderiam ser utilizados para atingir o seu pessoal.
Desacelerar oTeste de Phishing
O timing é a chave para o sucesso do seu teste de phishing. Um erro comum é enviar ao mesmo tempo um teste de phishing de cobertor a toda a organização. Isto apenas levanta suspeitas e os membros do pessoal que identificaram o e-mail como phishing começarão a alertar os colegas.
Se não quiser acabar com resultados distorcidos, deve escalonar o seu teste de phishing em diferentes intervalos de tempo para assegurar uma comunicação mais precisa.
Incluir Executivos Séniores emTestes de Phishing
Todos os utilizadores são susceptíveis a ataques de phishing mas há certos empregados que têm um perfil de risco mais elevado do que outros. CEOs, CFOs, e altos executivos são alguns dos alvos mais populares do phishing devido ao seu acesso de alto nível a informação corporativa valiosa.
É vital que estes membros do pessoal sejam incluídos em todos os testes de phishing, não só numa perspectiva de risco mas também para demonstrar aos outros empregados que estão a levar a sério a segurança cibernética.
Usar uma variedade de métodos
Os testes de simulação de phishing devem reflectir com precisão as diferentes ameaças que os seus empregados enfrentam no dia a dia. Os cibercriminosos estão a tornar-se mais desonestos nos seus métodos de ataque, pelo que os seus testes de phishing precisam de reflectir isto. Embora muitos empregados estejam atentos contra ataques externos, poderão ser mais complacentes com e-mails que parecem vir de dentro da organização.
Poderiam ser enviados e-mails fazendo-se passar pelo departamento de RH, informando o pessoal sobre o subsídio de férias ou a folha de pagamentos. Ao misturar os estilos e técnicas do seu teste, ganhará uma melhor compreensão da consciência dos funcionários.
Analisar dados
Os dados produzidos a partir dos seus testes de phishing são cruciais para descobrir se a sua campanha foi bem sucedida. Ajudá-lo-á a identificar tendências, empregados vulneráveis, necessidades de formação, e a informar o planeamento de futuros testes de phishing.
Os seus relatórios devem ser analisados:
- Número de pessoas que clicaram.
- Número de pessoas que submeteram informação sensível.
- Número de pessoas que relataram o e-mail de phishing.
Ao longo do tempo, deverá assistir-se a uma diminuição nas duas primeiras categorias e a um aumento dos relatórios. Os empregados que clicaram no e-mail de phishing e/ou submeteram informações sensíveis devem receber mais formação para melhorar os comportamentos de segurança.
O pessoal precisa de compreender as consequências reais de um ataque de phishing e porque é tão importante que possam efectivamente identificar uma suspeita de phishing. Não se trata de apanhar pessoas, mas de medir a consciência e identificar áreas que podem ser melhoradas.
Do mesmo modo, os funcionários que tenham demonstrado bons comportamentos de segurança, identificando e-mails de phishing e reportando-os ao pessoal de TI devem ser elogiados.
Introduzir aFormação em Phishing como parte de um Programa deSensibilização para uma MaiorSegurança Cibernética
Para ser verdadeiramente eficaz, os testes de phishing devem ser introduzidos como parte de um programa mais amplo de sensibilização para a cibersegurança. Esta é a melhor forma de educar o pessoal, melhorar os comportamentos de segurança e criar uma força de trabalho mais ciber-resiliente. Pode escolher tópicos que abordem os seus riscos organizacionais e utilizar uma abordagem mista para envolver o pessoal e aumentar a consciencialização.
Para além dos seus testes de phishing, eLearning direccionado, blogs, cartazes e infográficos podem ser todos utilizados para ajudar a reforçar as mensagens chave.
Reflexões finais
Uma vez estabelecido o seu programa de sensibilização para o phishing, é importante manter o ímpeto. Criar uma cultura de consciencialização leva tempo e não pode ser alcançado através de um exercício anual único.
Os testes regulares de phishing ajudarão a aumentar a vigilância dos funcionários, melhorar a sensibilização e identificar quaisquer áreas de fraqueza que possam constituir um risco para a segurança da sua organização.
