26 de janeiro de 2024 - Cyber security
A engenharia social é uma das maiores ameaças a todas as organizações cyber security. Refere-se a todas as técnicas que os maus actores utilizam para convencer alguém a revelar informações ou a realizar uma ação.
Há centenas de exemplos de engenharia social. Imagina que o teu cliente é pirateado e o malfeitor utiliza o seu endereço de correio eletrónico para enviar facturas falsas. Ou um mau ator utiliza a IA para falsificar a voz do teu CEO durante uma chamada telefónica, dizendo a um empregado para transferir imediatamente uma grande soma de dinheiro.
Por muito boa que seja a tua pilha de tecnologia cibernética, não existe uma forma infalível de evitar este tipo de engenharia social. É por isso que é importante ensinar aos teus funcionários como reconhecer a engenharia social e como agir quando notarem que algo está errado.
Neste artigo, vamos partilhar os melhores testes e jogos de engenharia social que te vão ajudar a ti e à tua equipa a tornarem-se uma firewall humana contra a engenharia social.
Os melhores jogos e questionários sobre engenharia social
- Guardey
- Cybersecurity Escape Room
- Roda de curiosidades sobre contraespionagem
- Elo perdido
- Riskio
- ESET
- CompTIA
1. Guardey
Guardey é um jogo security awareness para empregados. Durante os desafios semanais que demoram 3-5 minutos a concluir, os utilizadores aprendem sobre uma vasta gama de tópicos de cyber security , incluindo engenharia social. Alguns dos tópicos de engenharia social que fazem parte do jogo são:
- Lança phishing
- Fraude do diretor executivo
- BEC
- Pesca
- Tailgating
Como os utilizadores podem jogar um rápido desafio Guardey todas as semanas, a sua sensibilização para a engenharia social está sempre ativa. Isto provou ser muito mais eficaz do que a formação anual ou mesmo trimestral, em que a sensibilização atinge um nível máximo durante algumas semanas e depois evapora-se completamente.
O Guardey utiliza a gamificação para tornar a formação em security awareness envolvente. Os utilizadores podem marcar pontos, ganhar dinheiro para a sua organização fictícia, ganhar distintivos e competir com os seus colegas pelo primeiro lugar na tabela de classificação.
Prós
- Desafios semanais
- Abrange todos os tópicos de engenharia social
- A gamificação mantém os utilizadores envolvidos
Contras
- Não é gratuito, mas é acessível
→ Inicia um teste gratuito de 14 dias do Guardey
2. Cybersecurity Escape Room
Se preferes jogar um jogo de engenharia social na vida real, este escape room de cibersegurança pode ser interessante.
Durante este jogo, tu e a tua equipa terão a missão de desbloquear um dispositivo infetado com ransomware. Mas, obviamente, o caminho para esse objetivo final está cheio de obstáculos. Vais enfrentar desafios sobre tópicos como a partilha de dados, a classificação de dados e a engenharia social.
Não é barato, terás de pagar 6000 dólares para jogar este jogo durante um dia. Também requer muita organização e, obviamente, não é uma solução para uma formação regular. No entanto, deixará uma impressão duradoura nos teus colegas e é uma excelente forma de melhorar o espírito de equipa em geral.
Prós
- Muito envolvente
- É bom para o espírito de equipa
Contras
- Caro
- Não é adequado para formação recorrente
3. Roda de curiosidades sobre contraespionagem
Se estás à procura de um jogo/questionário para um momento rápido, este pode ser o que procuras. Este jogo de perguntas e respostas demora cerca de 20 minutos a completar na sua totalidade e funciona como uma boa primeira introdução ao treino security awareness .
A melhor parte deste jogo é o facto de poderes fazer girar a roda. Quem é que não gosta de fazer isso, não é? Depois de escolheres uma categoria, recebes um conjunto de perguntas sobre um tópico específico do cyber security , sendo a engenharia social um deles.
Mais uma vez, não é uma boa solução para uma formação regular, mas é boa para utilizar como introdução à importância de security awareness na tua organização.
Prós
- Não paga nada
- Introdução divertida ao tema
Contras
- Não tens informações aprofundadas
- Não se destina a formação recorrente
4. Ligação em falta
Missing Link é outro jogo curto que não é adequado para treino recorrente, mas é uma boa introdução à engenharia social.
Durante este teste de engenharia social, é-te pedido que analises um conjunto de e-mails phishing e que indiques todas as pistas que provam que se trata de um e-mail phishing . Depois de fazeres isso, recebes um feedback detalhado sobre todas as pistas. É raro que os utilizadores encontrem todas as pistas, o que constitui um excelente momento de sensibilização.
Prós
- Uma óptima introdução ao tema
- Não paga nada
Contras
- Não foi feito para formação recorrente
- Concentra-se apenas em phishing
5. Risco
Outro jogo análogo de engenharia social chama-se Riskio. Neste caso, não se trata de um escape room, mas de um bom e velho jogo de mesa.
Este jogo exige que reúnas a tua equipa numa sala, juntamente com um especialista em cibersegurança. Se fores um especialista ou tiveres alguém na empresa, esta pode ser uma óptima opção.
Obviamente, jogos como estes consomem muito tempo e são difíceis de organizar quando a tua equipa tem uma agenda muito preenchida. Mas é uma óptima forma de pôr toda a gente na mesma página sobre a importância da sensibilização para a engenharia social uma ou duas vezes por ano.
Prós
- Muito envolvente
- Diverte-te a jogar
- Conteúdo de alta qualidade
Contras
- Necessita de um especialista em cyber security na sala para jogar
- Demora muito tempo
6. ESET
Outra boa introdução à sensibilização para a engenharia social é este jogo da ESET.
Em cerca de vinte perguntas de teste, aprendes tudo, desde a definição de engenharia social até aos exemplos de engenharia social. É ótimo como introdução, mas não foi feito para uma formação regular de sensibilização.
Prós
- Não paga nada
- Feedback direto após cada pergunta
Contras
- Não foi feito para formação recorrente
7. CompTIA
O mesmo pode ser dito sobre este teste de engenharia social da CompTIA.
Os utilizadores recebem cerca de 20 perguntas, com questões como "Que tipos de ataques são considerados engenharia social?" No entanto, depois de responderes a uma pergunta, não recebes feedback direto sobre a resposta que acabaste de dar. Mesmo que a resposta esteja incorrecta. Este é definitivamente um grande ponto de melhoria.
No geral, é uma boa introdução à engenharia social, mas não é adequada para a formação recorrente de funcionários.
Prós
- Não paga nada
Contras
- Não foi feito para formação recorrente
Melhora a sensibilização para a engenharia social com o Guardey
Estás à procura de um jogo de engenharia social que treine regularmente os teus funcionários para detetar spear phishing, fraude de CEO e BEC a quilómetros de distância? Não procures mais.
O Guardey é um jogo security awareness que permite aos utilizadores jogar desafios semanais que lhes ensinam tudo o que precisam de aprender sobre engenharia social. Com os elementos de gamificação, os empregados estão intrinsecamente motivados para jogar e manter-se envolvidos durante longos períodos.
