Boas práticas na criação de campanhas de Phishing

Foto de un ave pescando

Boas práticas na criação de campanhas de Phishing

Neste post, compilo algumas das recomendações que, na minha opinião pessoal, me parecem mais importantes quando se trata de simular Phishing.

Neste post, assumo que os diretores da organização já compreendem a importância desta prática e demonstraram o seu compromisso com a gestão da engenharia social.

Sem mais considerações, vamos às boas práticas na criação de campanhas de simulação de Phishing.

Faça os deveres prévios

Dica rápida

  • Tenha claro por que vai simular
  • Realize um processo ordenado de Whitelist
  • Lance campanhas de teste

Dica detalhada

O objetivo fundamental de uma simulação de Phishing é medir o comportamento dos utilizadores para entender o nível de risco da organização.
Portanto, este será provavelmente um dos objetivos das suas simulações. A partir daqui, podem surgir muitos outros. Geralmente, eles terão como objetivo a gestão do risco da engenharia social e o desenvolvimento de hábitos seguros.

Mas, focando-se nas bases, se desejamos saber como os nossos utilizadores se comportariam frente a um ataque real, devemos garantir que o universo de utilizadores que queremos avaliar receba o e-mail de Phishing.

Para isso serve um processo de Whitelist. Basicamente, é necessário configurar as várias ferramentas de segurança da nossa organização para permitir que os e-mails de simulação passem, idealmente sem sequer os alterar.

Depois de configuradas, devemos lançar campanhas de teste. Este tipo de campanhas permitirá saber se o nosso processo de Whitelist está a funcionar corretamente e se consideramos todas as ferramentas corporativas que temos implementadas.

Isto pode parecer um pouco estranho, mas muitas organizações ficam surpreendidas nesta fase. Quando lançam o teste, descobrem que há mais ferramentas a analisar os e-mails do que aquelas que tinham documentadas. Por isso, o processo de Whitelist muitas vezes é mais difícil do que se pensa, mas leva as organizações a melhorar o seu conhecimento e documentação das ferramentas de segurança que possuem.

Leitura recomendada: Deixe de fazer Simulações de Phishing! Sério?

 

Não tente que todos os utilizadores caiam

Dica rápida

Faça com que as suas simulações se pareçam com casos reais. Não force os cenários de simulação para que a maior quantidade de utilizadores possível caia. Isso só lhe dará métricas irreais.

Dica detalhada

Estamos a falar de simular Phishing. Simular é representar algo, fazendo com que pareça real, por isso as nossas simulações de Phishing devem comportar-se como um Phishing real.
Então, vamos começar pelo princípio.

Uma simulação replica o comportamento de um ciberataque real, nos seguintes aspetos:

  • Duração da campanha, geralmente algumas horas
  • Meio utilizado para entregar o ataque, geralmente via e-mail
  • Presença de técnicas de engenharia social nas cabeçalhos e corpo da mensagem
  • Uso de links ou arquivos anexos
  • Uso de sites falsos, cópias de outros reais
  • Medindo as ações do utilizador, ou seja, se abre o e-mail, se clica num link, etc.

Mas existe uma diferença importante: uma simulação não captura informações sensíveis e é inócua para o utilizador final ou para a organização.
Normalmente, os ataques reais de Phishing terminam quando o cibercriminoso consegue capturar, por exemplo, as credenciais do utilizador. Por outro lado, uma simulação pode mostrar uma mensagem educativa depois de o utilizador realizar uma ação arriscada, como enviar informações privadas num formulário.

No entanto, muitos responsáveis pela segurança esperam algo diferente:

  • Que as campanhas de simulação durem semanas
  • Que sejam recebidas corretamente na caixa de entrada de todos os utilizadores
  • Que o cenário selecionado desperte o interesse de todos eles
  • Que todos os utilizadores caiam

Para isso, passam semanas preparando o cenário perfeito de Phishing, abusando da informação interna que possuem da organização e dos utilizadores. A essa prática, na SMARTFENSE, chamamos de simulação de Phishing de ouro.
Claro que isso não é de todo recomendável, pois estaremos a enviesar os resultados das campanhas e obteremos resultados que não serão coerentes com a realidade.

Leitura recomendada: A simulação de Phishing de ouro, ou como interpretamos de maneira incorreta os resultados dos nossos testes

 

Envie muitas simulações

Dica rápida

Envie um conjunto de simulações por mês e depois agrupe-as para ver os resultados sumarizados.
Cada campanha do mês deve variar quanto à sua temática, dia, horário, grupo de utilizadores destinatários, tipo de engano, grau de personalização, etc.

Dica detalhada

As simulações precisam de ser representativas. Quanto mais variadas forem, melhores serão as conclusões que podemos tirar delas.
Em vez de lançar uma única campanha de Phishing e esperar que os resultados nos mostrem o comportamento completo dos utilizadores, devemos enviar múltiplas simulações ao longo do mês.

E, claro, essas campanhas podem ser agrupadas e analisadas conjuntamente para ver os resultados sumarizados.

Leitura recomendada: Como enviar simulações de Phishing com sucesso: passo a passo

 

Não se esqueça do feedback positivo

Dica rápida

Quando um utilizador não cai, deve ser elogiado, pois isso reforça o comportamento certo.

Dica detalhada

O feedback positivo é uma das melhores formas de garantir que os utilizadores compreendam que o seu comportamento foi apropriado. Deixar de lado o feedback negativo pode fazer com que os utilizadores se sintam envergonhados ou desmotivados, o que pode prejudicar os objetivos da campanha.
Por exemplo, se um utilizador passar com sucesso uma simulação de Phishing, o feedback positivo poderia ser uma mensagem de reconhecimento, destacando a sua atenção e capacidade de reação.

Leitura recomendada: A necessidade de usar feedback positivo nas simulações de Phishing

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deixe um comentário