A realização de campanhas de phishing simuladas utilizando software especializado de simulação de phishing é um método eficaz para educar os funcionários no reconhecimento de mensagens enganosas, contribuindo para a luta contra o phishing. O phishing baseado em correio eletrónico continua a ser a principal causa de roubo de credenciais de início de sessão e um método eficaz de infiltração de redes de TI com ransomware. A execução bem-sucedida dessas campanhas de simulação de phishing envolve planejamento estratégico, comunicação clara e análise completa. O phishing está entre as duas técnicas mais populares e eficazes utilizadas pelos cibercriminosos para se infiltrarem em redes empresariais. O seu sucesso deve-se à capacidade dos cibercriminosos de ocultar conteúdos maliciosos para iludir as ferramentas de segurança, bem como à sua manipulação dos funcionários, transformando-os em infiltrados inadvertidos. Aqui estão algumas diretrizes para começar e garantir que a tua campanha de simulação de phishing funciona.

Passos para uma campanha de phishing simulada bem-sucedida

Os ataques de phishing simulados são concebidos para automatizar a formação em phishing e proporcionar experiências de aprendizagem diretamente aos empregados. Estes pacotes de formação de phishing simulado fornecem e-mails de phishing de aspeto realista, que seguem as campanhas de phishing do mundo real.

No entanto, para tirar o máximo partido de uma campanha de simulação de phishing, tens de planear, estar ciente do cenário de ameaças de phishing, comunicar com os funcionários e compreender como é que os teus objectivos comerciais se relacionam com as tuas necessidades de segurança cibernética.

Para tirares o máximo partido de um teste de phishing, deves seguir estes passos:

Planeia a tua estratégia de campanha de simulação de phishing

Todos os bons testes de phishing se baseiam num trabalho de preparação sólido. A preparação deve abranger as seguintes áreas:

  • Pesquisa as tendências actuais de e-mails de phishing para fornecer mensagens de phishing simuladas mais realistas: Pergunta à tua equipa ou consultores que tipo de e-mails estão a ser utilizados para atingir a tua indústria ou sector? As aplicações e marcas específicas, por exemplo, o Microsoft 365, são populares como alvos falsos em campanhas de phishing? Reúne estes dados para os utilizares durante a parte de “construção” da tua campanha.
  • Com que frequência serão enviados os e-mails de phishing simulados? Pode ser semanal, mensal, trimestral, etc. A frequência das campanhas deve estar de acordo com a tua estratégia global de risco de cibersegurança.
  • Comunica com os empregados. Desenvolve um conjunto de instruções claras para os funcionários sobre como comunicar quaisquer e-mails de phishing identificados e/ou ataques de engenharia social associados. Estas instruções devem incluir pormenores sobre como recolher os detalhes da ameaça.
  • Decide como formar os funcionários que não conseguem detetar e-mails de phishing. Deverá ser explorada a utilização de uma educação “pontual” para se concentrar na formação reforçada.
  • Prepara-te para ajustar a tua estratégia e o trabalho de preparação associado à medida que o panorama do phishing muda.

Cria a tua campanha de phishing simulada

Um software de simulação de phishing automatizado permite-lhe gerar os elementos necessários para realizar a campanha; isto inclui a criação de modelos de phishing. Uma plataforma de automatização de phishing simulado oferecerá modelos baseados em ameaças de phishing do mundo real, utilizando as marcas falsificadas mais comuns. Uma vez que certos sectores têm ameaças específicas, estes modelos devem poder ser modificados para refletir essas especificidades.

É importante notar que os modelos devem ser fáceis de ajustar e configurar pelo administrador da campanha utilizando uma consola de gestão centralizada.

Cria experiências de aprendizagem que façam com que a formação se mantenha

O objetivo das campanhas de simulação de phishing é educar os funcionários sobre como detetar um esquema de phishing e mudar o comportamento de“vontade de clicar” em que os fraudadores se baseiam. Para garantir uma experiência de aprendizagem memorável e eficaz, uma plataforma de simulação de phishing deve proporcionar uma experiência de aprendizagem “point-of-need”.

Os elementos típicos deste tipo de aprendizagem interactiva são a apresentação de um aviso, de uma infografia relevante, de um inquérito para recolher métricas para uma melhor adaptação da formação, etc., a qualquer funcionário que não consiga detetar um e-mail de phishing.

Este ponto de necessidade explicará o que aconteceu e os perigos associados a um esquema de phishing. Alguns sistemas avançados vão mais longe e educam o empregado sobre estratégias de prevenção para ajudar a evitar futuras tentativas de phishing.

Recolhe e analisa métricas

À medida que a campanha de phishing simulada progride, os funcionários devem ser encorajados a comunicar os e-mails de phishing observados. O conjunto de instruções que desenvolveste durante a fase de planeamento é a base para a comunicação de tentativas de phishing por parte dos funcionários.

Algumas plataformas automatizadas de simulação de phishing oferecem um painel de controlo de métricas que utiliza dados capturados de campanhas de phishing simuladas para analisar a taxa de sucesso da campanha.

Estas métricas são uma parte importante para garantir que a formação é optimizada. As métricas também te dão as munições necessárias para mostrar ao nível C e à direção que a formação de sensibilização para a segurança é eficaz.

Algumas plataformas de simulação fornecem dados sobre a percentagem de utilizadores que são vulneráveis ao ataque e o tipo de dispositivo utilizado para aceder ao e-mail de phishing. Um maior nível de granularidade dos dados métricos facilita campanhas mais personalizadas. Estas métricas também lhe permitem melhorar continuamente a eficácia de uma campanha de phishing simulada para se concentrar em conteúdos de e-mail de phishing cada vez mais sofisticados.

Enxagua e repete a campanha de phishing simulada

O cenário do phishing está sempre a mudar à medida que os autores de fraudes trabalham para evitar a deteção. Para acompanhar esta mudança, as campanhas de phishing simuladas também devem ser actualizadas de acordo com estas alterações. Isto significa que a tua campanha de simulação de phishing irá provavelmente mudar para refletir o cenário de phishing, regularmente e ao longo do tempo.

A frequência com que o fazes é determinada pela tua análise geral dos riscos de segurança. As recomendações sobre os períodos entre as campanhas variam, mas uma boa regra geral é a cada 4-6 semanas. No entanto, os prazos de entrega das campanhas também devem ser ajustados se surgirem alterações significativas no panorama do phishing, como foi o caso durante a pandemia de Covid-19.

Tempo para fazer Phish

Uma análise da literatura efectuada por investigadores da Swedish Defence Research Agency concluiu que 24% dos destinatários de e-mails de phishing clicam numa ligação e 21% introduzem as suas palavras-passe em sites falsos. Este número alarmante mostra a importância vital da utilização de formação relevante e direcionada sobre phishing para os funcionários.

No entanto, para que esta educação seja verdadeiramente eficaz, é necessária uma abordagem estratégica. Seguindo as recomendações dos especialistas da MetaCompliance, podes garantir que a tua campanha de simulação de phishing é bem sucedida – ajudando a prevenir ataques de phishing reais e maliciosos antes que estes comprometam a tua organização.

Para saberes mais, consulta estes artigos:

Ou então, contacta-nos para uma demonstração gratuita do nosso software de simulação de phishing.

Risco de ransomware

[faq_posts]