Você pode descobrir se sua conta do Facebook foi hackeada se receber notificações de tentativas de login, notar que suas informações pessoais foram alteradas, perceber um
Atualizado em 11 de abril de 2023.
O phishing é um problema que precisa ser levado a sério por empresas de todos os tipos. A melhor maneira de proteger sua empresa contra um inevitável ataque de phishing é se preparar. Instruir os colaboradores e realizar testes, garante que eles possam detectar tentativas de phishing.
Para realizar uma campanha de teste de phishing bem-sucedida, você deve primeiro buscar uma ferramenta para aplicá-lo, elaborá-lo, e em seguida, analisar os resultados. Neste guia, falaremos sobre como realizar um teste de phishing no ambiente de trabalho com o propósito de preparar seus colaboradores para a detecção desses ataques antes de cair em um golpe real.
O que é phishing?
O phishing é um tipo de ataque cibernético no qual o invasor tenta obter informações confidenciais fingindo ser uma pessoa confiável que a vítima conhece. Os ataques de phishing ocorrem geralmente por e-mail ou mensagens de texto e muitas vezes contêm palavras com senso de urgência para que a vítima atue rapidamente.
Por exemplo, digamos que você abra sua caixa de entrada e observe um e-mail do Nubank sobre uma atualização na sua conta bancária. O e-mail parece importante e o padrão dele é parecido com os e-mails que você normalmente recebe do Nubank, então você clica no link. No entanto, esse link é malicioso e redireciona você para um site falsificado. Um site falsificado é um site criado para parecer legítimo, mas que, na verdade, não é legítimo. Após inserir suas informações de login neste site, você está basicamente fornecendo suas credenciais para o invasor sem ter consciência disso. Assim, o invasor terá todas as informações necessárias para fazer login na sua conta legítima do Nubank.
No local de trabalho, um e-mail de phishing pode vir na forma de um e-mail de seu chefe com um pequeno erro de ortografia, ou de um colega de trabalho com um domínio ligeiramente diferente do habitual. Normalmente, o e-mail pede que você forneça informações confidenciais que o invasor usará para roubar ou prejudicar sua empresa de alguma forma.
O que é um teste de phishing?
Um teste de phishing é um programa que permite que as empresas enviem simulações de e-mails de phishing realistas aos colaboradores para ver como eles reagem a estes e-mails. Esses testes de phishing permitem que as empresas vejam se seus colaboradores foram bem treinados para detectar ataques, e fornecem treinamento caso os colaboradores interajam com os e-mails. Ao enviar simulações de ataques de phishing, os colaboradores aprenderão a identificar caso recebam um ataque real, garantindo a proteção da sua empresa a longo prazo.
Como preparar seus colaboradores para um teste de phishing
Antes de começar a executar um teste de phishing, você precisará encontrar uma ferramenta para realizá-lo. Existem muitas disponíveis, incluindo as de código aberto gratuitas como o Gophish. Se preferir, você pode pesquisar produtos como KnowBe4 e Infosec IQ.
Após decidir sobre a ferramenta, é hora de comunicar e treinar seus colaboradores, afinal, o objetivo é informá-los sobre os perigos do phishing e depois testar o desempenho deles.
Se você fizer o teste antes de comunicar aos colaboradores é arriscado perder a confiança deles e fazê-los sentir que estão sendo desprezados pelo departamento de TI. No entanto, se você comunicar e treinar seus colaboradores previamente, aumentará as chances de que eles vejam isso como uma experiência de aprendizado valiosa, em vez de uma falha surpreendentemente embaraçosa da sua parte.
Você também precisará reunir seus gerentes e líderes de departamento para definir parâmetros para o teste. Muitos phishers usam táticas de engenharia social, como fingir ser um colega de trabalho ou gerente, para aumentar suas chances de enganar seus alvos. Portanto, geralmente é uma boa ideia trabalhar com líderes de departamento para descobrir como atingir colaboradores específicos, assim como seria com um invasor real.
É importante deixar claro como os colaboradores podem relatar tentativas de phishing. Por exemplo: eles devem encaminhar o e-mail para o departamento de TI? Relatar ao seu líder direto? Os colaboradores são mais propensos a relatar e-mails quando isso não é prejudicial para o fluxo de trabalho, portanto, seu processo de relatórios deve ser o mais facilitado possível. O processo de relatório varia de ferramenta para ferramenta, portanto, tenha isso em mente antes de escolher uma ferramenta de phishing para sua empresa.
Como planejar um teste de phishing
Quando todo o trabalho de base for estabelecido, você pode começar a programar algumas das especificidades do seu teste, como quanto tempo durará, quais tipos de esquemas de phishing serão testados, as métricas que você analisará e quem será testado.
Os testes de phishing mais perspicazes ocorrem continuamente, pois as empresas sempre recebem novos colaboradores que precisam ser treinados e testados. Cada novo talento que se junta à equipe será testado inicialmente com um e-mail de phishing falso por mês, usando um modelo de phishing evidente que, logo depois, se intensificará para um e-mail de engenharia social que parece ser de um colega de trabalho. Aumentar de modo gradativo ajuda seus colaboradores a ganhar confiança gradualmente, ao invés de desanimarem após falhar em uma rápida proporção.
Antes de começar o teste, é importante decidir com sua equipe quais tipos de ataques de phishing você usará. Por exemplo: você usará o spear phishing para atingir indivíduos específicos? Escolherá o ataque de whaling para atrair o CEO e outros colaboradores da diretoria? Incluirá o phishing de clone também? Normalmente, é possível que você queira usar vários ataques de phishing diferentes para testar a capacidade dos membros da sua equipe de reconhecer cada um deles.
Para mensurar e interpretar com precisão o que acontece durante o teste, você também precisará selecionar quais métricas monitorar. Geralmente, você deve acompanhar essas três métricas:
- O número de colaboradores que foram vítimas de uma tentativa de phishing e vazaram dados
- O número de colaboradores que reconheceram e relataram com sucesso uma tentativa de phishing
- As taxas de cliques de links
Quando você realizar seu teste, não se esqueça de incluir gerentes seniores, diretores e membros da diretoria. Esses membros de alto nível da equipe são frequentemente alguns dos maiores alvos de phishing, portanto, também precisam estar preparados.
Quando todos os detalhes do planejamento do seu teste estiverem configurados, é hora de agir. A coisa mais importante a ser considerada até aqui é que o cronograma exato de implantação deve permanecer em segredo. Se os colaboradores estiverem a par do cronograma, saberão dos e-mails de phishing e isso vai alterar os resultados.
O que fazer após receber os resultados dos testes de phishing
Mesmo que o teste tenha terminado, o trabalho não acabou. Após a realização do teste é hora de analisar os dados e ver como sua empresa se saiu.
Para começar, você deve ver se atingiu os objetivos que esperava: um número reduzido de colaboradores caiu na armadilha dos e-mails de phishing no decorrer do tempo? As taxas de cliques de links diminuíram? O número de colaboradores que relataram e-mails suspeitos aumentou?
Quando você tiver analisado todos os dados, é hora de decidir sobre como avançar. No geral, é uma boa ideia apresentar os resultados à empresa para que todos possam ver onde é preciso melhorar. No entanto, é importante não mencionar departamentos ou colaboradores específicos publicamente.
É inevitável que alguns colaboradores tenham baixo desempenho, sendo importante fazer uma abordagem cuidadosa e compreensiva. O teste deve ser uma experiência de aprendizado, logo não há motivo para ser rude ou condescendente com pessoas de baixo desempenho. Sendo assim, é necessário fornecer treinamento adicional para poderem melhorar. A maioria das ferramentas tem a opção de ministrar treinamento de phishing adicional para os indivíduos que precisam.
Aumentar sua segurança cibernética começa com os colaboradores
Fazer um teste de phishing é apenas uma peça de um grande quebra-cabeça de segurança cibernética. É vital a conscientização de todos sobre a segurança cibernética para manter sua empresa segura a longo prazo, por isso é necessário treinamento e iniciativas de testes contínuos.
Além disso, pode ser útil atualizar outras áreas da segurança da sua empresa implementando o gerenciamento de acesso privilegiado e exigindo que os colaboradores usem gerenciadores de senhas. Os gerenciadores de senhas ajudam os colaboradores a manter as senhas seguras e protegidas com facilidade, protegendo sua empresa contra ataques de senhas comuns. Além disso, eles podem proteger diretamente contra tentativas de phishing, pois preencherão automaticamente apenas senhas em correspondência com URL diretas, e não URLs falsas de um site de phishing.