No final de 2021, os ataques de ransomware tinham aumentado para uma tentativa a cada 11 segundos. As violações de dados também continuam a um ritmo acelerado, com quase 19 mil milhões de registos violados durante o primeiro semestre de 2021.

Muitos destes ataques utilizam phishing ou dados phishing em algum momento do ataque e as estatísticas comprovam-no, sendo o phishing o vetor de ataque número um, com um aumento de volume de 161% em 2021.

Porquê fazer phishing aos teus utilizadores?

O phishing joga com a falibilidade e o comportamento humanos, tornando esta tática insidiosa e difícil de proteger. De acordo com a investigação, 96% das violações de dados começam com um e-mail de phishing. Um e-mail de phishing é menos como uma bomba que explode e mais como um rastilho que arde lentamente; o phishing resulta em credenciais de início de sessão roubadas, infeção por malware e pode deixar a tua rede vulnerável ao roubo lento de dados e à destruição das TI durante muitos meses.

Um relatório concluiu que 74% dos e-mails de phishing foram utilizados para roubar as credenciais que os teus funcionários utilizam para iniciar sessão nas tuas aplicações empresariais.

O phishing funciona porque engana as pessoas para que façam coisas que beneficiam o cibercriminoso que enviou o e-mail malicioso. Por exemplo, o phishing por correio eletrónico utiliza normalmente estratagemas como fazer com que o destinatário se sinta preocupado com o facto de, se não clicar numa ligação, poder vir a ter problemas no trabalho. As condições que provocam medo, incerteza e dúvida, juntamente com a urgência e outros truques psicológicos, fazem do phishing o método número um para iniciar um ataque cibernético.

Os funcionários precisam de compreender estes truques astutos de phishing para terem a possibilidade de resistir ao impulso de clicar numa ligação maliciosa ou de descarregar um anexo infetado.

Para ajudar a evitar que a sua empresa se torne um número num conjunto de estatísticas de phishing, pode utilizar uma plataforma de simulação de phishing para fazer phishing aos seus utilizadores. Para uma análise mais aprofundada de como o phishing funciona e para te ajudar a começar, lê o MetaCompliance Ultimate Guide to Phishing.

O que é a simulação de phishing?

As simulações de phishing são serviços baseados na nuvem que geram e-mails de phishing simulados. Estes e-mails reflectem ameaças de phishing actuais e emergentes. Os e-mails de phishing simulados são enviados para os destinatários de uma organização como parte de uma campanha organizada por uma empresa, muitas vezes com a ajuda de uma organização experiente em sensibilização para a segurança.

Os e-mails de phishing simulados ajudam a formar o pessoal para detetar tácticas de phishing.

Como funciona a simulação de phishing?

As ferramentas de simulação de phishing funcionam como parte de uma campanha mais alargada de sensibilização para a segurança. Enquadram-se perfeitamente numa estratégia organizada de educação e sensibilização que funciona em harmonia para melhorar a segurança do correio eletrónico e reduzir os ataques informáticos a uma organização.

As ferramentas de simulação de phishing, como o MetaPhish, são baseadas na nuvem e podem ser configuradas e geridas centralmente a partir de uma consola de administração e relatórios. A simulação de phishing começa com a configuração de modelos prontos a usar para refletir um ataque de phishing conhecido ou emergente.

Os modelos são concebidos para empregar marcas bem conhecidas que são frequentemente utilizadas em campanhas de phishing reais. Por exemplo, marcas como a Microsoft são regularmente as marcas falsificadas mais utilizadas em campanhas de phishing.

Um modelo de simulação de phishing inclui o e-mail de phishing e quaisquer páginas de destino falsas relacionadas necessárias para conduzir um utilizador através do ciclo de vida do phishing. Quando um funcionário recebe um e-mail de phishing simulado, se o e-mail incluir um link malicioso e o funcionário clicar no link, o funcionário será levado para esta página de destino associada.

É importante que as ferramentas de simulação de phishing sejam altamente configuráveis. Os modelos de phishing devem poder ser modificados para se adaptarem ao ambiente exato dos diferentes sectores industriais.

Algumas ferramentas de simulação de phishing, como o MetaPhish, incluem ajuda especializada de terceiros para garantir que o design dos modelos se aproxima das campanhas de phishing reais. Desta forma, garante que se aproximam o mais possível de um phishing real. Ao fazê-lo, torna os resultados do exercício de phishing simulado mais precisos.

Fazer da simulação de phishing uma experiência de aprendizagem

Uma coisa é fazer phishing aos teus utilizadores, mas garantir que eles aprendem com a experiência pode ser complicado. Por isso, as ferramentas de simulação de phishing devem utilizar a aprendizagem ativa. Se um funcionário cair nos truques do e-mail de phishing simulado, o evento deve ser transformado em algo positivo.

A aprendizagem no momento da necessidade retira o utilizador do ciclo de vida do phishing para realçar onde errou e as suas vulnerabilidades. Normalmente, isto ocorre numa conjuntura, como quando um funcionário clica numa ligação de phishing ou introduz as credenciais de início de sessão num site de phishing.

Quando ocorre um esquema de phishing, é apresentada ao funcionário uma mensagem de aviso, infografia ou inquérito no ecrã, que explica ao utilizador o que ocorreu, o que poderia acontecer se se tratasse de um verdadeiro e-mail de phishing e como se certificar de que não volta a cair nesse truque.

Capturando os resultados da simulação de phishing

As métricas são um aspeto importante da Formação de Sensibilização para a Segurança e da simulação de phishing. Medir o sucesso de um programa de Formação de Sensibilização para a Segurança permite a uma organização afinar a apresentação do material para melhorar os resultados.

As plataformas de simulação de phishing, como o MetaPhish, oferecem um painel de relatórios que apresenta os resultados dos dados das simulações de phishing: por exemplo, quantos dos seus funcionários clicaram numa ligação num e-mail de phishing simulado.

Os relatórios gerados podem ser granulados ao nível do dispositivo utilizado para aceder ao e-mail de phishing, permitindo uma maior concentração na criação de campanhas de simulação de phishing subsequentes. Os departamentos individuais ou os grupos de utilizadores também podem ter um foco de formação, permitindo à sua organização aprofundar áreas específicas da empresa que trabalham com dados sensíveis ou financeiros, tais como contas a pagar ou RH.

A simulação de phishing é uma forma prática de educar a tua força de trabalho sobre os perigos do phishing e as tácticas inteligentes de engenharia social utilizadas pelos cibercriminosos. A técnica de formação dos empregados em matéria de sensibilização para a segurança é também reconhecida pelas normas de segurança da informação, como a ISO 27001.

Ao utilizar uma plataforma de simulação de phishing baseada na nuvem, tens a oportunidade de jogar contra os cibercriminosos no seu próprio jogo e ganhar.

Risco de ransomware