google 4.9 (34 comentários)
Cyber security serviço para ti
Agendar uma demonstração
Voltar ao Centro de Recursos

Porque é que a maioria das simulações de phishing fazem mais mal do que bem (e como estamos a corrigir isso)

28 de dezembro de 2023 - Cyber security

Partilha

guardey-sprint-meeting

Phishing As simulações são uma prática corrente para muitas organizações. E com razão.

O número de ataques phishing aumentou mais de 150% todos os anos desde 2019. Em 2022, o APWG registou mais de 4,7 milhões de ataques phishing . De acordo com uma pesquisa do FBI, os golpes phishing são responsáveis por quase 22% de todas as violações de dados que ocorrem.

Para combater esta situação, muitas organizações optam por simulações em phishing para testar a suscetibilidade dos seus colaboradores.

No entanto, acreditamos (e a investigação mostra-o agora) que a maioria das organizações não está a ajudar os seus empregados com as suas simulações phishing . Na verdade, estão até a torná-los mais vulneráveis a phishing.

Neste artigo, explicaremos a nossa visão sobre a razão pela qual a maioria das simulações phishing são mais prejudiciais do que benéficas e como podes evitar que isso aconteça.

Problema n.º 1: os modelos de correio eletrónico não preparam os empregados para o spear phishing

Muitos responsáveis pela segurança optam por uma estratégia de simulação phishing baseada na regularidade e na eficiência. Isto significa que querem que os seus empregados sejam postos à prova frequentemente, mas não querem gastar muito tempo a preparar as simulações. O objetivo é automatizar o processo tanto quanto possível.

Se procurares fornecedores de simulação de phishing na Internet, verás que muitos deles se enquadram neste sentimento. Oferecem modelos, e-mails phishing gerados por IA e e-mails enviados automaticamente. Isto ajuda os agentes de segurança a eliminarem os "testesphishing " das suas listas de tarefas sem terem de suar. Missão cumprida.

No entanto, estes modelos não estão a preparar os empregados para os perigos do spear phishing.

Spear phishing é um método phishing em que os phishers pesquisam cuidadosamente o seu alvo. Assim, o ataque parece vir de uma fonte de confiança na vida do alvo. Utiliza a informação que recolheu e técnicas de engenharia social para levar o alvo a clicar numa ligação maliciosa.

Imagina que um cibercriminoso invade o endereço de correio eletrónico de um dos teus fornecedores. Num dos e-mails, descobre exatamente quais os produtos que deve entregar e qual o aspeto da fatura. Tudo o que tem de fazer é copiar a fatura, alterar os dados da conta bancária e enviá-la para o teu departamento financeiro a partir de um endereço de correio eletrónico em que o teu departamento financeiro confie. É muito mais difícil para os teus empregados reconhecerem como phishing do que um modelo normal.

Os e-mails Spear phishing são muito mais difíceis de detetar pelos alvos. E uma vez que as simulações de phishing não utilizam estas técnicas, não estão a preparar os seus empregados para os verdadeiros riscos cibernéticos que enfrentam. Na melhor das hipóteses, dá ao responsável pela segurança e aos empregados uma falsa sensação de segurança. O diabo está nos detalhes quando se trata de phishing, e não podes automatizar esse tipo de atenção aos detalhes.

Questão #2: phishing simulações combinadas com formação voluntária são ineficazes

Estudos recentes revelam que a combinação de uma simulação phishing com formação voluntária não torna os empregados resistentes contra phishing, mas sim, mais frequentemente, torna-os mais susceptíveis de clicar em ligações phishing . Isto contradiz todos os estudos anteriores e uma prática comum do sector.

Então, como é que é essa prática comum?

Primeiro, envia a todos os empregados um e-mail para phishing . Quando alguém clica numa ligação, é reencaminhado para uma página de formação. Aqui, recebe formação voluntária (ou seja, pode simplesmente optar por não a fazer) sobre o que acabou de acontecer e como pode detetar phishing no futuro. A ideia é que, quando alguém acaba de ser vítima de phishing, estará mais aberto à formação e a retenção de conhecimentos estará no seu auge.

No entanto, a investigação sugere agora que as simulações phishing combinadas com a formação voluntária são ineficazes. Existem algumas razões possíveis para este facto:

  • Os funcionários sentem que "aprenderam a lição" após uma simulação em phishing , mas não participam em acções de formação voluntárias
  • Os funcionários que não clicam numa ligação durante uma simulação em phishing não recebem qualquer tipo de formação de segurança
  • As pessoas podem não reter bem as informações da formação logo após se sentirem "apanhadas" durante uma simulação phishing
  • Os funcionários precisam de formação regular para se tornarem verdadeiramente conscientes e conhecedores dos riscos cibernéticos, tais como phishing

Como fazeres as simulações phishing da forma correcta

Já estabelecemos que existem dois grandes problemas com a forma como as simulações phishing são frequentemente efectuadas hoje em dia:

  • Os e-mails com modelos não estão a preparar os empregados para o spear phishing
  • Phishing as simulações combinadas com a formação voluntária são ineficazes

Durante o ano passado, trabalhámos com proprietários de empresas, responsáveis pela segurança e outras pessoas responsáveis pela segurança nas organizações para resolver este problema.

Estamos agora a oferecer simulações de spear phishing . Durante esta simulação, trabalharemos com uma organização para desenvolver e-mails phishing que parecerão autênticos e confiáveis para todos os funcionários visados. Isto pode ser feito através da emulação de um e-mail de uma ferramenta de software de RH que a organização utiliza.

Este é um esforço mais moroso do que trabalhar com modelos. Mas nós acreditamos numa abordagem de qualidade em vez de quantidade. Se um cibercriminoso vai investir tempo para te invadir, deves dedicar algum tempo a formar os teus empregados. Não podes automatizar tudo. Por isso, aconselhamos que faças uma simulação de spear phishing apenas uma ou duas vezes por ano.

Para além disso, oferecemos um security awareness jogo que ensina os funcionários a reconhecer e a agir face a ameaças cibernéticas, incluindo phishing. Todas as semanas, os funcionários têm de enfrentar um desafio cyber security que demora até três minutos a concluir. Isto ajuda-os a adquirir conhecimentos e a manterem-se atentos às ciberameaças todos os dias da semana.

No jogo, cada utilizador cria uma organização fictícia. Ao fazer os desafios, consegue ganhar dinheiro para a sua empresa e melhorar a sua reputação. Mas se errarem as perguntas, perdem dinheiro e a sua reputação desce. Na tabela de classificação, podem ver quais os colegas que estão a marcar mais pontos. Isto cria um elemento competitivo divertido e aumenta a participação.

O jogo security awareness treina os conhecimentos da tua equipa e a simulação da lança phishing testa a sua suscetibilidade ao longo do tempo.

📚 Aprende como Roosevelt Kliniek treina a consciência phishing com Guardey

Protege a tua organização de phishing com o Guardey

Acreditamos firmemente que não é possível automatizar a prevenção do phishing . É necessária uma formação regular e simulações específicas de spear phishing para tornar os teus funcionários verdadeiramente resistentes.

Se estiveres interessado em experimentar a nossa solução, não hesites em agendar uma demonstração.

Recursos que te podem interessar

Cyber security
As 10 melhores avaliações security awareness para empregados
Sobre a NIS2
Cyber security
Cyber security formação para estudantes: as 10 melhores soluções
Obrigado a ti
Cyber security
Os 16 melhores jogos security awareness para empregados em 2024
Centro de recursos
Sítio Web de Anouk CTA Guardey
TESTE GRATUITO DE 14 DIAS

Experimenta Guardey hoje.

  • Experimenta sem qualquer risco
  • Suporte 24/7
Inicia um teste gratuito de 14 dias