Exercícios de Simulação de Phishing

Uma verdade inconveniente… e alarmante.

Estudo recente da Capgemini Research Institute  revela que e-mails com spear-phishing, ou seja, e-mails mal intencionados e personalizados, enviados para grupos específicos de usuários para induzi-los a abrir arquivos ou clicar em links maliciosos – cresceu 667% após o inicio da pandemia de Covid-19. Os ataques de ransomware às agências de cibersegurança e às infraestruturas consideradas críticas também cresceram e mobilizam os times de segurança da informação.

Como se sabe, os funcionários têm um papel importante em manter sua organização segura, desta forma sem conscientização de segurança e treinamento efetivo, eles podem ser o elo fraco na cadeia de segurança de dados.

Em um contexto de crescimento alarmante dos ataques, sua organização precisa tomar atitudes concretas para mitigar o risco de funcionários inadvertidamente caírem neste tipo de golpe.

Um treinamento eficiente é um componente crítico e significa garantir que os funcionários sejam informados sobre a importância da segurança de dados, tenham o conhecimento necessário para detectar ameaças e evitar vazamentos e tenham o poder de relatar possíveis incidentes de privacidade. É importante treiná-los sobre os riscos específicos de segurança cibernética da indústria e da empresa, bem como sobre as repercussões que uma violação de dados pode ter.

Campanhas de phishing simulados (mock phishing)

A campanha de mock phishing visa a simulação de um ataque de phishing direcionado aos colaboradores da empresa, procurando testá-los quanto a sua capacidade de identificação de e-mails maliciosos e seus efeitos na organização.

Nesta campanha, criamos e enviamos e-mail em tudo similares a e-mails reais e confiáveis, simulando técnicas de phishing usadas por atacantes que visam induzir os seus destinatários ao erro ao acreditarem que seus e-mails, tomando-os por verdadeiros e válidos, quando na verdade são maliciosos e visam roubar informações e senhas de acesso.

A campanha de mock phishing irá utilizar-se de temas diversos do cotidiano dos colaboradores, de forma a requer o seu julgamento pessoal no aceite ou não do “motivo” proposto. E-mails falsos relacionados ao Covid-19 fazem parte da nossa biblioteca de temas que são usados para atrair os usuários.

Os e-mails gerados pela campanha são falsos, buscando iludir o usuário de que se trata de um e-mail legítimo, da mesma forma que os criminosos agem. No entanto, quando os links do e-mail são clicados pelo usuário, o levam a uma página web educativa, que informa que sobre os perigos do phishing e o orienta como evita-los.

Ao final da campanha, os resultados são apresentados de forma a permitir que a empresa tenha um panorama do nível de conscientização de seus usuários, com informações estatísticas e detalhada sobre percentual os usuários “vitimados” pelos phishing simulados e recomendações de melhoria no Programa de Conscientização em Segurança da empresa.