19 de dezembro de 2024 • Phishing
Todos os dias, cerca de 3,4 bilhões de e-mails phishing são enviados por criminosos cibernéticos.
É por isso que as organizações investem em tecnologia e políticas para manter seus dados protegidos contra esses ataques. No entanto, o que é frequentemente esquecido é o fator humano.
Para reduzir as chances de ser vítima de um ataque de phishing, é fundamental treinar seus funcionários para que saibam reconhecer o phishing e denunciá-lo às pessoas certas dentro da sua organização. Um ótimo método para desenvolver resistência ao phishing é por meio de uma simulação de phishing.
Mas com uma grande variedade de soluções de software disponíveis, como saber qual simulador de phishing é o mais adequado para sua empresa? Neste artigo, vamos orientá-lo sobre as melhores opções que encontramos.
As 17 melhores ferramentas de software de simulação de phishing :
- Guardey
- Sophos Ameaça de Phishing
- Gophish
- Treinamento de simulação de ataque da Microsoft
- Hoxhunt
- Cofense PhishMe
- Infoseq IQ
- Seguro
- Guru cibernético
- Caixa de phishing
- uPhish (por Usecure)
- Wizer
- Barracuda
- Lobo do Ártico
- Phishing
- Proofpoint
- Segurança Fortra Terranova
1. Guardey

A Guardey oferece uma combinação de security awareness e phishing
Você pode configurar facilmente uma simulação dephishing em questão de minutos:
- Escolha um modelo de phishing na biblioteca
- Decidir para quais funcionários ela deve ser enviada e quando
- Coloque seu domínio na lista de permissões
- Iniciar o envio
Em um painel de controle em tempo real, você pode acompanhar estatísticas importantes, como quantos e-mails foram enviados e quantas vezes um e-mail foi aberto, um link foi clicado e dados foram enviados.
O que diferencia a Guardey das alternativas é que ela também oferece security awareness gamificado security awareness . Os funcionários participam de desafios semanais, nos quais aprendem sobre todos os tipos de phishing e uma ampla variedade de outros riscos de segurança. Em um quadro de líderes, eles competem entre si, o que comprovadamente aumenta o engajamento. Os usuários podem ganhar pontos por terem um bom desempenho durante o treinamento e por denunciarem phishing simulações).
Guardey acredita que a melhor maneira de criar conscientização phishing é treinando semanalmente e realizando regularmente uma simulação de phishing para testar a eficácia do treinamento.
Prós
- Plataforma fácil de usar (configure uma campanha em questão de minutos)
- Gamificação para motivar os usuários
- Teste gratuito disponível
- Preços transparentes
Contras
- A plataforma de treinamento não usa conteúdo de vídeo, o que pode ser uma desvantagem para algumas organizações
Revisão
"Os resultados phishing deixaram claro que havia trabalho a ser feito para melhorar a conscientização phishing . Se fizermos com que nosso pessoal reconheça e relate mais incidentes phishing , poderemos agir e reduzir os danos ao mínimo. De agora em diante, queremos realizar uma simulação de phishing duas vezes por ano com o Guardey, para ver se isso melhora." - Fonte
Planeje uma demonstração com um especialista da Guardey para saber mais
2. Ameaça de phishing da Sophos
A Sophos oferece uma combinação de simulações de phishing e treinamento de security awareness em uma única plataforma. A plataforma oferece uma avaliação gratuita, então nos inscrevemos e demos uma olhada por conta própria.
Você pode configurar uma campanha usando um dos 500 modelos phishing da biblioteca da Sophos. Há uma grande variedade de tópicos disponíveis, como um e-mail que contém um serviço de engajamento de funcionários e um e-mail sobre novas regras de estacionamento. Gostamos dessa especificidade. Você também pode personalizar esses modelos para que eles atendam às suas necessidades.
Além das simulações phishing , a plataforma permite que você treine os funcionários no reconhecimento de phishing. Ela está disponível em 10 idiomas e vem com alguns vídeos animados, como você pode ver no vídeo acima.
Prós
- Vem com uma avaliação gratuita para que você possa experimentar antes de comprar
- Combinação de simulações e treinamento
- Ampla variedade de modelos
- Oferece um botão de relatório no Outlook
Contras
- O treinamento é um pouco unidimensional (concentra-se apenas em phishing)
- O conteúdo do vídeo parece longo e desatualizado
Revisão
"A facilidade de configuração de campanhas de conscientização phishing , o botão "Denunciar mensagem" integrado ao Outlook e os relatórios são os pontos fortes do produto. Aparentemente, devido a alguns desafios legais da Microsoft, a Sophos removeu todas as suas campanhas projetadas para se parecerem com ataques phishing e coleta de credenciais da Microsoft. Isso é lamentável, pois muitos ataques reais imitam uma experiência de autenticação de usuário da Microsoft e são muito eficazes em enganar as pessoas para que forneçam seus nomes de usuário e senhas." - G2
3. Gophish
O GoPhish é uma estrutura phishing de código aberto que permite que você copie e-mails existentes para usar em campanhas phishing . Os links são substituídos automaticamente e os valores de entrada são registrados, para que você possa ver exatamente quem clicou e preencheu dados valiosos.
A configuração do GoPhish requer alguma habilidade técnica. Você pode usar o guia de instalação no Github ou usar outra plataforma para fazê-lo funcionar. Mas, uma vez que funcione, é uma ferramenta poderosa para configurar suas próprias campanhas phishing personalizadas.
Prós
- Uso gratuito
- Código aberto
- Use facilmente os e-mails existentes
Contras
- Requer conhecimento técnico
- Não é fornecido com um módulo de treinamento
Revisão
"Nós configuramos nosso próprio servidor GoPhish usando uma instância do AWS, e foi necessário um pouco de trabalho para fazê-lo funcionar. Uma das partes mais difíceis foi fazer com que o Gmail não sinalizasse automaticamente os e-mails de teste como phishing e derrotasse toda a parte de testar nossos usuários." - Reddit
4. Treinamento de simulação de ataque da Microsoft
O Outlook da Microsoft é o cliente de e-mail mais usado que existe, portanto, é justo que eles tenham criado seu próprio simulador de phishing . Eles o chamam de Attack Simulation Training, que faz parte do produto Microsoft Defender.
O treinamento de simulação de ataque permite que você escolha entre algumas técnicas diferentes de engenharia social:
- Colheita de credenciais
- Anexo de malware
- Link em anexo
- Link para malware
- URL de passagem
No painel de relatórios do produto, é possível ver quantos usuários passaram por uma simulação, quantos concluíram o treinamento após falharem em um teste phishing e até mesmo quantos "infratores" reincidentes estão ativos em sua organização.
Prós
- Parte do ecossistema do Microsoft 365
- Boa reportagem
- Várias técnicas de engenharia social para escolher
Contras
- Os usuários mencionam que o produto de treinamento não está à altura
- Os usuários mencionam que o produto é caro em comparação com outras alternativas
Revisão
"Os módulos de treinamento parecem sólidos, definitivamente não são tantos quanto o KnowBe4 ou outros, mas o que eles têm parece adequado. Mais caro do que a concorrência, pelo menos se a avaliação for estritamente para testes de phishing e treinamento em infosec." - Reddit
5. Hoxhunt
A Hoxhunt oferece o que chama de plataforma de gerenciamento de risco humano. Ela não oferece uma avaliação gratuita, portanto, será necessário entrar em contato com o departamento de vendas para entender melhor como ela funciona.
Mas, resumidamente, é assim que funciona:
- Você configura simulações de phishing
- Com base na forma como seus funcionários interagem com essas simulações, eles recebem material de treinamento atribuído
- Os usuários podem marcar pontos por terem um bom desempenho durante o treinamento e por reconhecerem e denunciarem phishing
O Hoxhunt oferece uma solução excelente e completa para phishing, mas é considerado por muitos como caro e adequado principalmente para organizações empresariais.
Prós
- Gamificação
- Painel de controle fácil de usar para administradores
Contras
- Sem teste gratuito
- Principalmente focado em organizações empresariais
- Alguns modelos phishing são fáceis de reconhecer como falsos
Revisão
"A ideia de e-mails que parecem reais é ótima. Acho que isso ajuda as pessoas a perceberem como é simples atrair alguém para clicar em um link ou abrir um anexo. É fácil navegar no painel, e a pontuação entre outros dentro da empresa é interessante. A interatividade no painel é excelente e convida a mais preenchimentos. Os e-mails, no entanto, são muito fáceis e podem ser identificados à primeira vista como pertencentes a um Hoxhunt. Quando se inscreve no modo picante, esses e-mails também não são muito sofisticados." - G2
6. Cofense PhishMe
O produto phishing da Cofense é chamado PhishMe. Uma citação de seu vídeo: o programa de simulação phishing que transforma a caça em caçador. E com isso, eles querem dizer que seus funcionários estarão caçando e-mails phishing . Agradecemos a inteligência.
A plataforma oferece uma combinação de três pilares:
- Treinamento de Security awareness : uma combinação de simulações e treinamento corretivo
- Denúncia de e-mail malicioso: a capacidade de denunciar um e-mail a partir do seu cliente de e-mail
- Validação de risco: a capacidade de obter insights sobre o perfil de risco de cada funcionário
Prós
- Produto completo com simulações e treinamento
- Relatórios detalhados sobre o desempenho individual
- Um roteirista de vídeo espirituoso 😉
Contras
- Requer manutenção contínua
- Os usuários ficam cansados após as simulações repetitivas
- A administração das iniciativas de treinamento costuma ser considerada demorada e consumidora de recursos pelos usuários
Revisão
"O recurso mais vantajoso do Cofense PhishMe é sua capacidade de aprimorar a segurança cibernética de forma proativa. Ele consegue isso por meio de simulações phishing realistas e personalizáveis que capacitam os usuários a identificar e combater as ameaças phishing com eficiência. As desvantagens do Cofense PhishMe podem incluir a necessidade de manutenção contínua, o possível cansaço do usuário devido a simulações repetitivas de phishing e a tarefa de administração de iniciativas de treinamento com uso intensivo de recursos." - G2
7. Infoseq IQ
O Infoseq IQ oferece treinamento de conscientização personalizado com base no perfil de risco exclusivo de cada funcionário. Ele faz isso de forma semelhante ao Hoxhunt:
- Enviar simulações phishing
- Analise automaticamente como o usuário reage
- Atribuir treinamento com base no desempenho
Muitos avaliadores estão entusiasmados com a plataforma, mas mencionam que os recursos de relatório poderiam ser aprimorados.
Prós
- Campanhas fáceis de configurar
- Treinamento baseado no perfil de risco individual
Contras
- A funcionalidade de relatórios poderia ser aprimorada
- Sem teste gratuito
Revisão
"A interface da ferramenta continua evoluindo constantemente para torná-la melhor para seus clientes. Tenho trabalhado com a ferramenta há um ano e vejo muitas melhorias na interface do usuário. Os relatórios e as métricas podem ser melhores. Às vezes, é difícil descobrir as métricas manualmente. Além disso, deveria haver uma maneira de remover automaticamente as contas obsoletas." - G2
8. Safetitan
Criar uma campanha phishing no Safetitan é simples. Você pode configurar campanhas contínuas para simulações que nunca terminam. Assim como em outras soluções, as sessões de treinamento são acionadas com base em como os usuários interagem com os e-mails phishing que estão sendo enviados.
Prós
- Configuração simples
- Use modelos de e-mails phishing e conteúdo de treinamento
- Um relatório automatizado é enviado todos os meses
Contras
- Sem teste gratuito
- O painel de administração poderia ser aprimorado
Revisão
"A abordagem automatizada do SafeTitan para treinar o modelo dos funcionários com base em comportamentos específicos é um recurso eficaz. Isso significa que eu não preciso configurar sozinho o treinamento geral security awareness para toda a equipe." - G2
9. Guru cibernético
O Cyber Guru é uma plataforma com sede na Itália que oferece um programa de treinamento e simulações phishing . Veja como eles organizaram isso:
- Treinamento de conscientização: um programa baseado em e-learning
- Treinamento de canais: uma série de vídeos
- Treinamento de Phishing : treinamento phishing adaptável (incluindo simulações)
Se um usuário "falhar" em uma simulação, ele terá que fazer uma micro sessão de treinamento. Essa sessão é especificamente adaptada ao e-mail phishing no qual o usuário acabou de clicar. Muitos especialistas desaconselham isso, pois essa forma de treinamento pode ser facilmente percebida como uma punição.
Prós
- Plataforma completa com treinamento e simulações
- Inclui conteúdo de vídeo (mesmo que esses vídeos sejam um pouco longos, algumas organizações preferem isso)
Contras
- Não há teste gratuito disponível
- As sessões de treinamento após a falha em uma simulação de phishing podem parecer uma punição
- A plataforma não usa gamificação para motivar os usuários
Revisão
"Experimentamos apenas o recurso phishing ; experiência de treinamento no trabalho sem que os usuários precisem fazer cursos, simples de implementar e fácil de entender. Os resultados são visíveis ao longo do tempo, mas há necessidade de incentivos da empresa." - Gartner
10. Caixa de phishing
O Phishingbox pode não vir com um teste gratuito, mas ainda assim não tem medo de mostrar sua plataforma. No vídeo acima, você pode ter uma ideia clara do que é possível fazer com a plataforma.
Para configurar uma simulação no Phishingbox, você pode escolher entre uma ampla variedade de modelos phishing em sua biblioteca. Os e-mails preenchem algumas variáveis, de modo que são personalizados para cada usuário individual.
O Phishingbox oferece muito espaço para personalização. Por exemplo, você pode decidir quais ações na página de destino são rastreadas (preenchimento de dados, clique em um botão de login e assim por diante).
Quando o usuário "falha" em uma simulação phishing , ele é encaminhado para uma sessão de treinamento. Novamente, essa é uma prática frequentemente desaconselhada pelos educadores, pois pode ser vista como uma punição.
Prós
- Ampla biblioteca de modelos
- Muito espaço para personalizar as campanhas
Contras
- A interface do usuário parece um pouco desatualizada
- As sessões de treinamento após "falhar" em uma simulação podem parecer uma punição
Revisão
"Experiência direta com o produto - mais do que suficiente para realizar o trabalho das PMEs. Diga o que quiser sobre a eficácia das campanhas Phishing , mas, em muitos casos, elas são necessárias para o seguro cibernético e similares. A interface do usuário pode ser um pouco confusa, principalmente em relação ao agendamento de campanhas, mas certamente é viável e espero que continue a melhorar à medida que o produto amadurece." - G2
11. uPhish (por usecure)
A usecure é uma conhecida plataforma de treinamento de security awareness com um produto especial para phishing: o uPhish. Com o uPhish, você pode configurar simulações de phishing e rastrear quando as pessoas abriram um e-mail, acessaram o link dentro dele e quando seus dados foram comprometidos. Também é possível rastrear se o usuário relatou o incidente, o que lhe dá uma visão geral completa das suas vulnerabilidades atuais.
A interface do usuário do uPhish é limpa e fácil de trabalhar. Você pode selecionar entre uma ampla variedade de modelos phishing , incluindo páginas de destino, anexos e uma combinação dos dois.
Prós
- Ampla biblioteca de modelos
- Plataforma fácil de usar
- Interface de usuário limpa
Contras
- Não há teste gratuito disponível
- O processo de personalização pode ser um pouco demorado
Revisão
"A plataforma é muito amigável e fácil de navegar. O tempo de carregamento também tem sido rápido para mim. Os exercícios de treinamento de nível inferior são, às vezes, de nível muito baixo, e ainda poderia haver mais informações incluídas." - G2
12. Wizer
O Wizer é uma plataforma que oferece simulações de " phishinginteligente". Eles têm uma biblioteca de modelos que é organizada por datas do calendário. Durante as férias, você verá modelos relacionados a férias e, no final de janeiro, verá um modelo de "Impostos de fim de ano". Isso facilita a localização de modelos que sejam relevantes para sua organização no momento.
Você pode decidir facilmente para quem deseja que os e-mails phishing sejam enviados:
- Todos os usuários
- Departamentos
- Ou usuários específicos
O Wizer tem uma interface de boa aparência e é fácil de gerenciar para os administradores.
Prós
- Modelos phishing relevantes fáceis de encontrar
- Fácil de manter para os administradores
Contras
- Sem teste gratuito
- Os vídeos no conteúdo do treinamento podem ser um pouco longos
Revisão
"O Wizer é muito mais fácil de configurar e gerenciar do que nossa plataforma anterior. Os treinamentos são vídeos de tamanho reduzido que cobrem bem o tópico, sem se alongar. Nosso provedor de treinamento anterior ofereceu mais ferramentas e relatórios, mas isso também tornou o console de administração mais confuso e difícil de navegar." - G2
13. Barracuda
O Barracuda é conhecido por ser um produto de segurança de e-mail, que impede que um grande número de e-mails phishing chegue à sua caixa de entrada. No entanto, eles também criaram um produto security awareness para complementar esse produto.
Com esse produto, você pode simular ameaças de e-mail, analisar o comportamento do usuário e escolher entre uma grande variedade de conteúdo de treinamento para permitir que os usuários reconheçam o phishing à distância.
Prós
- Opção interessante se você também estiver procurando uma solução técnica de bloqueio de phishing
- Grande variedade de modelos phishing
Contras
- A configuração de módulos de treinamento pode consumir muito tempo
- Alguns usuários mencionam que ele não é tão fácil de usar
Revisão
"Acredito que, no ambiente atual, a proteção contra phishing e spam é mais importante do que qualquer proteção de endpoint. Os usuários são o elo mais fraco na cyber security e na proteção de qualquer organização. O Barracuda SAT preenche a função de treinamento e conscientização do usuário final sobre o que procurar. Pode ser difícil de gerenciar e, sem a adesão do executivo para forçar a conformidade, pode ser uma perda de tempo. Existem outros produtos que são mais fáceis de usar e gerenciar." - G2
14. Lobo do Ártico
A Arctic Wolf é semelhante à Barracuda, pois oferece uma ampla plataforma de segurança. Security awareness não é seu foco principal, mas ela a oferece como um produto.
O produto security awareness , que eles chamam de "Managed Security Awareness", combina uma plataforma de treinamento e um simulador de phishing .
A plataforma de treinamento oferece microaulas curtas que não tomam muito tempo do funcionário. Todos os meses, novos conteúdos são adicionados à plataforma, incluindo o chamado "treinamento de resposta rápida" sobre ameaças emergentes.
Se um usuário "falhar" em uma das simulações phishing , ele será enviado para uma sessão de microtreinamento. Lá, ele aprende sobre a importância de denunciar um e-mail phishing na próxima vez. Como já dissemos antes, essa tática é favorecida por alguns, mas tem a oposição de muitos educadores por parecer uma punição.
Prós
- Uma solução combinada de treinamento e simulação de phishing
- Interessante se você estiver procurando uma solução de segurança tudo-em-um
Contras
- Sem teste gratuito
- Não há preços transparentes no site
Revisão
"O treinamento security awareness é curto, direto ao ponto, mas eficaz. Os treinamentos levaram a discussões sobre o conteúdo e a relevância para a nossa organização, bem como sobre algumas das partes mais divertidas. Todos os treinamentos com o representante e o treinamento sobre fadiga de MFA foram os favoritos dos fãs." - Gartner
15. Phishing
O Phished(dicas para a escolha inteligente do nome da marca) também oferece uma combinação de treinamento e simulações phishing .
Com o Phished, você pode automatizar todo o processo de envio de simulações phishing , liberando tempo da sua equipe de TI. O conteúdo é adaptado ao local de sua organização, ao contexto da empresa e aos eventos atuais. Você também pode personalizar o conteúdo para os indivíduos, para garantir que eles sejam testados da maneira que fizer mais sentido. É difícil dizer se o nível de automação é realmente bom. Não há uma avaliação gratuita do produto disponível.
Prós
- Campanhas phishing totalmente automatizadas
- Campanhas personalizadas para indivíduos
Contras
- Não há preços transparentes no site
- Sem teste gratuito
Revisão
"O Phished permite a configuração e o gerenciamento sem esforço de e-mails de simulação de phishing . A documentação do painel de controle é muito limitada. O painel é extenso, mas a lógica de como ele é estruturado nem sempre é clara (aposto que é para os desenvolvedores)." - G2
16. Proofpoint
O produto security awareness da Proofpoint se concentra principalmente na identificação de indivíduos de alto risco nas organizações. Isso é feito por meio da avaliação de funções, vulnerabilidades, risco de ataque e privilégios comerciais.
Eles medem o risco humano com base nos seguintes aspectos:
- Escolhas comportamentais
- Contexto da ameaça
- Funções e privilégios de negócios
- Habilidades e atitudes culturais
- Simulações Phishing baseadas em ataques reais
A plataforma não vem com uma avaliação gratuita e o preço não é comunicado de forma transparente no site. Para ver o produto em ação, você terá que entrar em contato com o departamento de vendas.
Prós
- Mostra o risco humano em um nível individual
- Também oferece simulações de SMS (smishing)
Contras
- Principalmente focado em organizações empresariais
- Não há preços transparentes
- Sem teste gratuito
Revisão
"Do ponto de vista do administrador, foi projetado para "marcar uma caixa" de conformidade, em vez de realmente educar a sua base de usuários. O produto é desajeitado e mal integrado ao restante da plataforma/serviços da Proofpoint." - G2
17. Segurança Fortra Terranova
A Fortra Terranova oferece uma ampla gama de soluções de segurança. Isso significa que security awareness (e simulações de phishing ) não é necessariamente o foco da empresa, mas ela a oferece como um produto.
Eles oferecem uma combinação de conteúdo gamificado para tornar a experiência de treinamento envolvente, ao mesmo tempo em que misturam "simulações phishing do mundo real", o que deve significar que os modelos devem ser muito convincentes.
Prós
- Pode ser interessante para organizações que buscam um produto completo
- Oferece treinamento e simulações phishing
- Teste gratuito
Contras
- Não há preços transparentes
- Sem foco apenas na security awareness
Revisão
"Estou usando principalmente a funcionalidade de simulação e estou bastante satisfeito com isso. Gosto da maneira como a simulação é construída, usando uma abordagem passo a passo visualizada com guias. Isso ajuda a entender exatamente o que falta para concluir. A interface é fácil de usar. Não gosto do fato de não haver uma maneira fácil de copiar e reutilizar um modelo existente que eu tenha criado. Basicamente, tenho de copiar e colar modelos de e-mail e feedback, o que é desnecessário. Também há um tipo de erro relacionado às configurações de e-mail e à possibilidade de testar o envio de e-mails. Não está claro exatamente como a funcionalidade de teste funciona." - G2
Conclusão
Há uma ampla variedade de ferramentas de software para simulação de phishing no mercado. Ao consultar a lista acima, você descobrirá qual solução é a mais adequada para a sua organização.
Para um simulador de phishing que visa a uma mudança de comportamento duradoura entre os funcionários, considere o uso do Guardey.
Saiba mais sobre o Guardey em uma demonstração
Discuta seus desafios e veja o Guardey em ação.
Planeje uma demonstração