A realização de campanhas de phishing simuladas utilizando software especializado de simulação de phishing é um método eficaz para educar os funcionários no reconhecimento de mensagens enganosas, contribuindo para a luta contra o phishing. O phishing baseado em correio eletrónico continua a ser a principal causa de roubo de credenciais de início de sessão e um método eficaz de infiltração de redes de TI com ransomware. A execução bem sucedida destas campanhas de simulação de phishing envolve planeamento estratégico, comunicação clara e análise minuciosa. O phishing está entre as duas técnicas mais populares e eficazes utilizadas pelos cibercriminosos para se infiltrarem em redes empresariais. O seu sucesso deve-se à capacidade dos cibercriminosos de ocultar conteúdos maliciosos para iludir as ferramentas de segurança, bem como à sua manipulação dos funcionários, transformando-os em infiltrados inadvertidos. Eis algumas directrizes para começar e garantir que a sua campanha de simulação de phishing funciona.
Passos para uma simulação de Phishing Simulado
Os ataquessimulados de phishing são concebidos para automatizar a formação dephishing e proporcionar experiências de aprendizagem directamente aos empregados. Estes pacotes de formação de phishing simulados entregam e-mails dephishing de aspecto realista, que rastreiam campanhas de phishing do mundo real.
No entanto, para tirar o máximo partido de uma campanha de simulação dephishing deve planear, estar consciente do panorama da ameaça de phishing, comunicar com os empregados, e compreender como os seus objectivos comerciais se relacionam com as suas necessidades de segurançacibernética.
Para tirar o máximo partido de um teste de phishing, deve seguir estes passos:
Planeie a sua estratégia de campanha de simulação depesca
Todos os bons testes dephishing são baseados num sólido trabalho de preparação. A preparação deve abranger as seguintes áreas:
- Investigar as tendências actuais do correio electrónico de phishing para entregar mensagens simuladas de phishing mais realistas: Pergunte à sua equipa ou consultores que tipo de e-mails estão a ser utilizados para visar a sua indústria ou sector? As aplicações e marcas específicas, por exemplo, Microsoft 365, são populares como alvos falsificados nas campanhas de phishing? Reúna estes dados para utilização durante a parte 'construir' da sua campanha.
- Com que frequência serão entregues os e-mails de phishing simulados? Isto pode ser semanal, mensal, trimestral, etc. A frequência das campanhas deve estar de acordo com a sua estratégia global de risco de segurançacibernética.
- Comunicar com os empregados. Desenvolver um conjunto de instruções claras para os empregados sobre como reportar quaisquer e-mails dephishing identificados, e/ou ataques de engenharia social associados. Isto deve incluir detalhes sobre como capturar os detalhes da ameaça.
- Decidir como formar ainda mais os empregados que não detectam e-mails dephishing. Isto deve explorar a utilização da educação 'ponto de necessidade' para se concentrar na melhoria da formação.
- Esteja preparado para ajustar a sua estratégia e o trabalho de preparação associado à medida que o cenário de phishing muda.
Crie a sua campanha de phishing simulada
Um software de simulação de phishing automatizado permite-lhe gerar os elementos necessários para realizar a campanha; isto inclui a criação de phishing modelos. Uma plataforma de automatização de phishing simulado oferecerá modelos baseados em ameaças de phishing do mundo real, utilizando as marcas falsificadas mais comuns. Dado que certos sectores têm ameaças específicas, estes modelos devem poder ser modificados para refletir essas especificidades.
O importante a salientar é que os modelos devem ser fáceis de ajustar e configurar pelo administrador da campanha utilizando uma consola de gestão centralizada.
Criar Experiências de Aprendizagem que Tornam o Stick de Formação
O objectivo das campanhas de simulação dephishing é educar os funcionários sobre como detectar um esquema de phishing e alterar o comportamento de "clique" em que os infractores confiam. Para assegurar uma experiência de aprendizagem memorável e eficaz, uma plataforma de simulação dephishing deve proporcionar uma experiência de aprendizagem 'point-of-need'.
Elementos típicos deste tipo de aprendizagem interactiva são a apresentação de um aviso de aviso, infografia relevante, inquérito para captar métricas para posterior adaptação da formação, etc., a qualquer empregado que não consiga detectar um e-mail de phishing.
Este ponto de necessidade irá explicar o que aconteceu e os perigos associados a um esquema de phishing. Alguns sistemas avançados darão mais este passo e educarão o empregado sobre estratégias de evasão para ajudar a evitar futuras tentativas de phishing.
Recolha e Análise de Métricas
À medida que a campanha simulada de phishing progride, os empregados devem ser encorajados a reportar as mensagens de correio electrónico dephishing observadas. O conjunto de instruções que desenvolve durante a sua fase de planeamento são a base para o relato de tentativas de phishing por parte dos funcionários.
Algumas plataformas automatizadas de simulação dephishing oferecem um painel de controlo métrico que utiliza dados simulados de campanhas de phishing capturados para analisar a taxa de sucesso da campanha.
Estas métricas são uma parte importante para garantir que a formação seja optimizada. As métricas também lhe dão as munições necessárias para mostrar ao nível C e ao quadro que a Formação de Sensibilização para a Segurança é eficaz.
Algumas plataformas de simulação fornecem dados sobre a percentagem de utilizadores vulneráveis a ataques e o tipo de dispositivo utilizado para aceder ao e-mail de phishing. Um maior nível de granularidade dos dados métricos facilita campanhas mais personalizadas. Estas métricas permitem também melhorar continuamente a eficácia de uma campanha de phishing simulada para se concentrar em conteúdos de correio electrónico de phishing cada vez mais sofisticados.
Enxaguar e Repetir a Campanha de Phishing Simulado
O panorama do phishing está sempre a mudar à medida que os infractores trabalham para escapar à detecção. Para mapear esta mudança, as campanhas simuladas de phishing devem também ser actualizadas em conformidade com estas mudanças. Isto significa que a sua campanha de simulação dephishing irá provavelmente mudar para reflectir a paisagem de phishing, regularmente e ao longo do tempo.
A frequência com que o faz é determinada pela sua análise global dos riscos de segurança. As recomendações sobre os períodos entre campanhas variam, mas cada 4-6 semanas é uma boa regra de ouro. No entanto, os prazos de entrega das campanhas também devem ser ajustados caso apareçam mudanças significativas no panorama do phishing, como aconteceu durante a pandemia de Covid-19.
Tempo para Phish
Uma análise bibliográfica feita por investigadores da Agência Sueca de Investigação da Defesa descobriu que 24% dos destinatários de e-mails de phishing clicam num link e 21% passam a introduzir as suas palavras-passe em sítios falsificados. Este número alarmante mostra a importância vital da utilização de uma educação relevante e focalizada sobre phishing para os funcionários.
Mas para que esta educação seja eficaz é necessário um plano de acção. Ao seguir as sugestões da MetaCompliance, pode assegurar que a sua campanha de simulação dephishing seja bem sucedida e pare as tentativas reais e maliciosas de phishing antes que elas prejudiquem a sua empresa.