Você já clicou em um link de uma promoção imperdível que recebeu por e-mail? Se a resposta for sim, têm grandes chances de você ter sido vítima de um ataque de phishing, uma das várias ameaças cibernéticas no qual os criminosos conseguem ter acesso a suas senhas, logins, dados bancários e podem também infectar seu dispositivo com algum malware.
Na maioria das vezes, as mensagens de texto tentam convencer o alvo a clicar em um link que o levará para alguma página contendo uma armadilha, como um formulário falso a ser preenchido. Outra possibilidade é a de que o mail de phishing contenha um anexo malicioso; ou seja, um arquivo que, ao ser aberto ou executado, entrega um script danoso ao dispositivo.
Esse tipo de ataque é um dos grandes responsáveis pelos vazamentos de dados de grandes empresas. Segundo a pesquisa divulgada pela companhia de tecnologia de segurança da informação, ESET, a mensagem falsa, também chamada de campanha de phishing, foi o ciberataque mais aplicado em 2018 na América Latina.
Por conta disso, companhias contratam serviços especializados em disparar simulação de phishing para conscientizar e educar seus colaboradores. Trata-se de uma excelente forma de sensibilizar os seus colaboradores e transformá-los em uma verdadeira defesa contra esse tipo de golpe de engenharia social. Neste artigo, vamos falar justamente sobre como a simulação de phishing é realizada.
Entenda como funciona uma simulação de phishing
Essa é uma prática extremamente eficaz para tentar barrar ataques de cibercriminosos. Ao simular uma mensagem falsa dentro da instituição, as equipes de segurança da informação conseguem saber o nível de fragilidade de seus funcionários. Com isso, é possível trabalhar até de forma individual para fortalecer o grau de conhecimento em relação à proteção de dados de seus servidores.
Conheça, logo abaixo, quais são os processos de um teste de phishing.
Escolhendo o nível de complexidade
Antes de tudo, é necessário conhecer a fundo o cenário da empresa na qual será aplicada a simulação e entender qual estratégia funcionaria melhor, para que o e-mail falso (ou mote, como é chamado) seja criado e enviado aos colaboradores de uma forma mais eficaz. Caso contrário, há chances de que a oportunidade de teste acabe sendo inútil por não ser convincente o suficiente.
Um phishing personalizado e realista é mais eficiente para testar o comportamento de uma equipe perante uma ameaça real, e por isso é crucial estudar qual tipo de mote mais chamaria a atenção dos funcionários de acordo com a realidade do ambiente corporativo. Lembre-se de que o nós queremos é uma simulação que mais se aproxime de um perigo que realmente possa se materializar.
Como exemplo, podemos dizer que uma promoção de restaurante, uma atualização de sistema ou o sorteio de uma viagem são boas opções para iniciar uma simulação de phishing.
Acompanhando as métricas
Após definir a quantidade de envios (ou seja, quantas pessoas receberão a simulação de phishing), quais informações serão colhidas (por exemplo, login e senha ou dados cadastrais como endereço postal e CPF) e o dia e horário que mais se ajustam à estratégia, é possível saber, posteriormente, quantas pessoas colocaram dados indevidos no site simulado.
Acompanhar as métricas é uma parte importantíssima do teste de phishing. Afinal, são essas estatísticas que, a longo prazo, irão ajudar a acompanhar a evolução da maturidade da equipe perante as ameaças cibernéticas, observando se o índice de comportamento inadequado está se tornando menor ou não.
Campanha direcionada
A campanha de phishing direcionada é recomendada para colaboradores que já compreendem o reconhecimento básico de uma ameaça. Ou seja, após o colaborador já entender como funciona um phishing básico (como uma falsa multa teoricamente oriunda de uma autoridade de trânsito), é recomendado aumentar a complexidade das simulações usando um phishing personalizado.
Aqui, novamente, é essencial conhecer bem o "alvo" para criar um mote que seja convincente e realista. Nesta etapa, talvez seja necessário fazer um trabalho de coleta de informações públicas a respeito do colaborador a ser testado para identificar eventuais hobbies, gostos pessoais e costumes cotidianos que possam ser utilizados para ativar os seus gatilhos psicológicos.
Na engenharia social, chamamos esse tipo de golpe de spear phishing. Como seu nome sugere, é uma atividade similar à pescaria com o uso de arpões: em vez de criar uma campanha de phishing capaz de pescar vários alvos de uma só vez (uma rede), utilizamos um equipamento de precisão (arpão) para atingir um indivíduo em específico.
Comparativo
O ideal é repetir o processo após um determinado tempo, para ter conhecimento de quanto a compreensão dos colaboradores em relação à segurança da informação, evoluiu. Acompanhando e repetindo esses procedimentos, com variações nos motes das campanhas de phishing, o time de segurança da informação consegue identificar se a campanha de conscientização está surtindo efeito na prática ou não.
Conheça outras atividades de análise de risco
Com o detalhamento de informações acerca da fragilidade dos contratados, outras ações, em conjunto com a simulação de phishing, podem ser aplicadas para fortalecer a proteção de dados da entidade.
Dumpster Diving
É uma técnica de explorar lixos secos em busca de materiais descartados na íntegra, como relatórios impressos, crachás antigos e até pedaços de hardware que possam conter informações sigilosas (por exemplo, um pendrive velho ou disco rígido que não foi corretamente limpo antes de ser substituído). Desta forma é possível verificar se está havendo descarte seguro de documentos por parte dos colaboradores.
Ronda de Mesa e Tela Limpa
Esta ação contribui bastante para a proteção do ambiente físico, também muito importante para a proteção de dados. Nela, é feita uma vistoria nos postos de trabalho para verificar a existência de eventuais computadores destravado, senhas e informações confidenciais expostas em anotações e dispositivos não-autorizados conectados, por exemplo.
Web Crawler
Solução focada em analisar a exposição das empresas, com base no comportamento de seus colaboradores nas redes sociais. Por meio de hábitos de risco, como a exposição de telas de computador, crachás, áreas e cargos.
Fique atento!
Os hackers estão evoluindo cada vez mais suas técnicas de enviar phishing e invadir sistemas operacionais, burlando ferramentas de segurança. São ações de segurança da informação como essas que visam informar e capacitar o colaborador que protege de fato uma organização.
