Você já clicou em um link de uma promoção imperdível que recebeu por e-mail? Se a resposta for sim, têm grandes chances de você ter sido vítima de um ataque de phishing, uma das várias ameaças cibernéticas no qual os criminosos conseguem ter acesso a suas senhas, logins, dados bancários e podem também infectar seu dispositivo com algum malware.
Na maioria das vezes, as mensagens de texto tentam convencer o alvo a clicar em um link que o levará para alguma página contendo uma armadilha, como um formulário falso a ser preenchido. Outra possibilidade é a de que o mail de phishing contenha um anexo malicioso; ou seja, um arquivo que, ao ser aberto ou executado, entrega um script danoso ao dispositivo.
Esse tipo de ataque é um dos grandes responsáveis pelos vazamentos de dados de grandes empresas. Segundo a pesquisa divulgada pela companhia de tecnologia de segurança da informação, ESET, a mensagem falsa, também chamada de campanha de phishing, foi o ciberataque mais aplicado em 2018 na América Latina.
Por conta disso, companhias contratam serviços especializados em disparar simulação de phishing para conscientizar e educar seus colaboradores. Trata-se de uma excelente forma de sensibilizar os seus colaboradores e transformá-los em uma verdadeira defesa contra esse tipo de golpe de engenharia social. Neste artigo, vamos falar justamente sobre como a simulação de phishing é realizada.
Essa é uma prática extremamente eficaz para tentar barrar ataques de cibercriminosos. Ao simular uma mensagem falsa dentro da instituição, as equipes de segurança da informação conseguem saber o nível de fragilidade de seus funcionários. Com isso, é possível trabalhar até de forma individual para fortalecer o grau de conhecimento em relação à proteção de dados de seus servidores.
Conheça, logo abaixo, quais são os processos de um teste de phishing.
Antes de tudo, é necessário conhecer a fundo o cenário da empresa na qual será aplicada a simulação e entender qual estratégia funcionaria melhor, para que o e-mail falso (ou mote, como é chamado) seja criado e enviado aos colaboradores de uma forma mais eficaz. Caso contrário, há chances de que a oportunidade de teste acabe sendo inútil por não ser convincente o suficiente.
Um phishing personalizado e realista é mais eficiente para testar o comportamento de uma equipe perante uma ameaça real, e por isso é crucial estudar qual tipo de mote mais chamaria a atenção dos funcionários de acordo com a realidade do ambiente corporativo. Lembre-se de que o nós queremos é uma simulação que mais se aproxime de um perigo que realmente possa se materializar.
Como exemplo, podemos dizer que uma promoção de restaurante, uma atualização de sistema ou o sorteio de uma viagem são boas opções para iniciar uma simulação de phishing.
Após definir a quantidade de envios (ou seja, quantas pessoas receberão a simulação de phishing), quais informações serão colhidas (por exemplo, login e senha ou dados cadastrais como endereço postal e CPF) e o dia e horário que mais se ajustam à estratégia, é possível saber, posteriormente, quantas pessoas colocaram dados indevidos no site simulado.
Acompanhar as métricas é uma parte importantíssima do teste de phishing. Afinal, são essas estatísticas que, a longo prazo, irão ajudar a acompanhar a evolução da maturidade da equipe perante as ameaças cibernéticas, observando se o índice de comportamento inadequado está se tornando menor ou não.
A campanha de phishing direcionada é recomendada para colaboradores que já compreendem o reconhecimento básico de uma ameaça. Ou seja, após o colaborador já entender como funciona um phishing básico (como uma falsa multa teoricamente oriunda de uma autoridade de trânsito), é recomendado aumentar a complexidade das simulações usando um phishing personalizado.
Aqui, novamente, é essencial conhecer bem o "alvo" para criar um mote que seja convincente e realista. Nesta etapa, talvez seja necessário fazer um trabalho de coleta de informações públicas a respeito do colaborador a ser testado para identificar eventuais hobbies, gostos pessoais e costumes cotidianos que possam ser utilizados para ativar os seus gatilhos psicológicos.
Na engenharia social, chamamos esse tipo de golpe de spear phishing. Como seu nome sugere, é uma atividade similar à pescaria com o uso de arpões: em vez de criar uma campanha de phishing capaz de pescar vários alvos de uma só vez (uma rede), utilizamos um equipamento de precisão (arpão) para atingir um indivíduo em específico.
O ideal é repetir o processo após um determinado tempo, para ter conhecimento de quanto a compreensão dos colaboradores em relação à segurança da informação, evoluiu. Acompanhando e repetindo esses procedimentos, com variações nos motes das campanhas de phishing, o time de segurança da informação consegue identificar se a campanha de conscientização está surtindo efeito na prática ou não.
Com o detalhamento de informações acerca da fragilidade dos contratados, outras ações, em conjunto com a simulação de phishing, podem ser aplicadas para fortalecer a proteção de dados da entidade.
É uma técnica de explorar lixos secos em busca de materiais descartados na íntegra, como relatórios impressos, crachás antigos e até pedaços de hardware que possam conter informações sigilosas (por exemplo, um pendrive velho ou disco rígido que não foi corretamente limpo antes de ser substituído). Desta forma é possível verificar se está havendo descarte seguro de documentos por parte dos colaboradores.
Esta ação contribui bastante para a proteção do ambiente físico, também muito importante para a proteção de dados. Nela, é feita uma vistoria nos postos de trabalho para verificar a existência de eventuais computadores destravado, senhas e informações confidenciais expostas em anotações e dispositivos não-autorizados conectados, por exemplo.
Solução focada em analisar a exposição das empresas, com base no comportamento de seus colaboradores nas redes sociais. Por meio de hábitos de risco, como a exposição de telas de computador, crachás, áreas e cargos.
Os hackers estão evoluindo cada vez mais suas técnicas de enviar phishing e invadir sistemas operacionais, burlando ferramentas de segurança. São ações de segurança da informação como essas que visam informar e capacitar o colaborador que protege de fato uma organização.