A realização de campanhas de phishing simuladas utilizando software especializado de simulação de phishing é um método eficaz para educar os funcionários no reconhecimento de mensagens enganosas, contribuindo para a luta contra o phishing. O phishing baseado em correio eletrónico continua a ser a principal causa de roubo de credenciais de início de sessão e um método eficaz de infiltração de redes de TI com ransomware. A execução bem sucedida destas campanhas de simulação de phishing envolve planeamento estratégico, comunicação clara e análise minuciosa. O phishing está entre as duas técnicas mais populares e eficazes utilizadas pelos cibercriminosos para se infiltrarem em redes empresariais. O seu sucesso deve-se à capacidade dos cibercriminosos de ocultar conteúdos maliciosos para iludir as ferramentas de segurança, bem como à sua manipulação dos funcionários, transformando-os em infiltrados inadvertidos. Eis algumas diretrizes para começar e garantir que a sua campanha de simulação de phishing funciona.
Passos para uma campanha de phishing simulado bem-sucedida
Os ataquessimulados de phishing são concebidos para automatizar a formação dephishing e proporcionar experiências de aprendizagem directamente aos empregados. Estes pacotes de formação de phishing simulados entregam e-mails dephishing de aspecto realista, que rastreiam campanhas de phishing do mundo real.
No entanto, para tirar o máximo partido de uma campanha de simulação dephishing deve planear, estar consciente do panorama da ameaça de phishing, comunicar com os empregados, e compreender como os seus objectivos comerciais se relacionam com as suas necessidades de segurançacibernética.
Para tirar o máximo partido de um teste de phishing, deve seguir estes passos:
Planeie a sua estratégia de campanha de simulação depesca
Todos os bons testes dephishing são baseados num sólido trabalho de preparação. A preparação deve abranger as seguintes áreas:
- Pesquise as tendências actuais de e-mails de phishing para fornecer mensagens de phishing simuladas mais realistas: Pergunte à sua equipa ou consultores que tipo de e-mails estão a ser utilizados para atingir a sua indústria ou sector? As aplicações e marcas específicas, por exemplo, o Microsoft 365, são populares como alvos falsos em campanhas de phishing? Reúna estes dados para os utilizar durante a parte de "construção" da sua campanha.
- Com que frequência serão enviadas as mensagens electrónicas de phishing simuladas? Pode ser semanal, mensal, trimestral, etc. A frequência das campanhas deve estar de acordo com a sua estratégia global de risco de cibersegurança.
- Comunicar com os empregados. Desenvolva um conjunto de instruções claras para os funcionários sobre como comunicar quaisquer e-mailsde phishing identificados e/ou ataques de engenharia social associados. Estas instruções devem incluir pormenores sobre a forma de registar os detalhes da ameaça.
- Decidir como formar melhor os empregados que não conseguem detetar mensagens electrónicas de phishing. Para tal, deve ser explorada a utilização de formação "pontual" para se concentrar numa formação reforçada.
- Esteja preparado para ajustar a sua estratégia e o trabalho de preparação associado à medida que o panorama do phishing se altera.
Crie a sua campanha de phishing simulada
Uma simulação de phishing permite-lhe gerar os elementos necessários para realizar a campanha; isto inclui a criação de phishing modelos. Uma plataforma de automatização de phishing simulado oferecerá modelos baseados em ameaças de phishing do mundo real, utilizando as marcas falsificadas mais comuns. Dado que certos sectores têm ameaças específicas, estes modelos devem poder ser modificados para refletir essas especificidades.
O importante a salientar é que os modelos devem ser fáceis de ajustar e configurar pelo administrador da campanha utilizando uma consola de gestão centralizada.
Criar Experiências de Aprendizagem que Tornam o Stick de Formação
O objetivo das campanhas de simulação dephishing é educar os funcionários sobre como detetar uma fraude de phishing e alterar o comportamento de "vontade de clicar" em que os autores de fraudes se baseiam. Para garantir uma experiência de aprendizagem memorável e eficaz, uma plataforma de simulação dephishing deve proporcionar uma experiência de aprendizagem "pontual".
Elementos típicos deste tipo de aprendizagem interactiva são a apresentação de um aviso de aviso, infografia relevante, inquérito para captar métricas para posterior adaptação da formação, etc., a qualquer empregado que não consiga detectar um e-mail de phishing.
Este ponto de necessidade irá explicar o que aconteceu e os perigos associados a um esquema de phishing. Alguns sistemas avançados darão mais este passo e educarão o empregado sobre estratégias de evasão para ajudar a evitar futuras tentativas de phishing.
Recolha e Análise de Métricas
À medida que a campanha simulada de phishing progride, os empregados devem ser encorajados a reportar as mensagens de correio electrónico dephishing observadas. O conjunto de instruções que desenvolve durante a sua fase de planeamento são a base para o relato de tentativas de phishing por parte dos funcionários.
Algumas plataformas automatizadas de simulação dephishing oferecem um painel de controlo métrico que utiliza dados simulados de campanhas de phishing capturados para analisar a taxa de sucesso da campanha.
Estas métricas são uma parte importante para garantir que a formação é optimizada. As métricas também lhe dão as munições necessárias para mostrar ao nível C e à direção que a formação de sensibilização para a segurança é eficaz.
Algumas plataformas de simulação fornecem dados sobre a percentagem de utilizadores vulneráveis a ataques e o tipo de dispositivo utilizado para aceder ao e-mail de phishing. Um maior nível de granularidade dos dados métricos facilita campanhas mais personalizadas. Estas métricas permitem também melhorar continuamente a eficácia de uma campanha de phishing simulada para se concentrar em conteúdos de correio electrónico de phishing cada vez mais sofisticados.
Enxaguar e Repetir a Campanha de Phishing Simulado
O panorama do phishing está sempre a mudar à medida que os infractores trabalham para escapar à detecção. Para mapear esta mudança, as campanhas simuladas de phishing devem também ser actualizadas em conformidade com estas mudanças. Isto significa que a sua campanha de simulação dephishing irá provavelmente mudar para reflectir a paisagem de phishing, regularmente e ao longo do tempo.
A frequência com que o faz é determinada pela sua análise global dos riscos de segurança. As recomendações sobre os períodos entre campanhas variam, mas cada 4-6 semanas é uma boa regra de ouro. No entanto, os prazos de entrega das campanhas também devem ser ajustados caso apareçam mudanças significativas no panorama do phishing, como aconteceu durante a pandemia de Covid-19.
Tempo para Phish
Uma análise bibliográfica feita por investigadores da Agência Sueca de Investigação da Defesa descobriu que 24% dos destinatários de e-mails de phishing clicam num link e 21% passam a introduzir as suas palavras-passe em sítios falsificados. Este número alarmante mostra a importância vital da utilização de uma educação relevante e focalizada sobre phishing para os funcionários.
No entanto, para que esta formação seja verdadeiramente eficaz, é necessária uma abordagem estratégica. Ao seguir as recomendações dos especialistas da MetaCompliance, pode garantir que a sua campanha de simulação de phishing é bem sucedida - ajudando a evitar ataques de phishing reais e maliciosos antes que estes comprometam a sua organização.
Para saber mais, consulte estes artigos:
- Phishing training para funcionários: Como funciona
- Principais dicas para realizar um teste de phishing bem-sucedido na sua organização
- O que é Anti-Phishing e porque é importante para os funcionários
Ou contacte-nos para obter uma demonstração gratuita do nosso software de simulação de phishing.
