Sabes realmente o que é uma simulação de Phishing? Tem certeza?

Sabes realmente o que é uma simulação de Phishing? Tem certeza?

O que é uma simulação de Phishing?

Muitos responsáveis pela cibersegurança ou IT procuram plataformas de simulação de Phishing para analisar a viabilidade de os utilizadores da sua organização caírem em armadilhas de engenharia social. No entanto, é importante lembrar como funcionam ou do que se tratam especificamente.

Uma simulação replica o comportamento de um ciberataque real, nos seguintes aspectos:

  • Duração da campanha, geralmente algumas horas
  • Meio utilizado para realizar o ataque, geralmente via email
  • Presença de técnicas de engenharia social nos cabeçalhos e corpo da mensagem
  • Uso de links ou ficheiros anexados
  • Uso de sites falsos, réplica de outros reais
  • Medição das ações do utilizador, como abrir o email, clicar num link, etc.

No entanto, há uma diferença importante: uma simulação não captura informações sensíveis e é inofensiva para o utilizador final ou para a organização.
Normalmente, os ataques reais de Phishing terminam quando o cibercriminoso consegue capturar, por exemplo, as credenciais do utilizador. Em contraste, uma simulação pode exibir uma mensagem educativa depois de o utilizador realizar uma ação arriscada, como enviar informações privadas através de um formulário.

As simulações de Phishing simulam… Phishing

A função principal de uma simulação de Phishing é comportar-se como um Phishing real.
No entanto, muitas pessoas esperam algo diferente. Por exemplo, que as campanhas durem um mês, que enganem o maior número possível de utilizadores, ou que os emails de simulação não sejam detetados por tecnologias de segurança.

Essa expectativa não é coerente com a realidade. Se queremos simular uma armadilha de Phishing, ela deve comportar-se como um Phishing real.

O que nos interessa medir?

O objetivo final de uma simulação de Phishing é medir o comportamento dos utilizadores para conhecer o nível de risco da organização.
Por que destacamos este ponto? Principalmente porque, se queremos saber como os nossos utilizadores se comportariam diante de um ataque real, devemos garantir que o universo de utilizadores que queremos avaliar receba o email de Phishing.

Frequentemente, os responsáveis pela segurança ou IT esperam que as simulações cheguem à caixa de entrada do utilizador evitando todas as barreiras tecnológicas da organização, sem realizar qualquer tipo de processo de Whitelist. Isso às vezes acontece, às vezes não (como nos Phishing reais), mas o único resultado obtido com este enfoque é obter um resultado incorreto sobre o nível de risco dos nossos utilizadores.

Uma simulação de Phishing não é utilizada para medir se funcionam as ferramentas de segurança da organização. É utilizada para medir o comportamento, condutas e ações das pessoas. Por isso, destacamos a importância de configurar as Whitelists correspondentes para que se possa medir o que é necessário medir.

Whitelist e SPAM

O processo de Whitelist é um dos passos a ter em conta ao criar as primeiras campanhas de simulação de Phishing.
Um dos objetivos da Whitelist é que o email de Phishing chegue diretamente à caixa de entrada do utilizador, sem cair em SPAM.


Também é utilizada para evitar que as ferramentas de segurança interajam com os emails de simulação, gerando estatísticas em nome dos utilizadores, uma situação bastante comum.

Especificamente, o que ocorre é que os emails de simulação de Phishing contêm links únicos que identificam de forma única um utilizador dentro de uma campanha, e servem para detetar as interações que esse utilizador realiza, e, portanto, medir o seu comportamento.

Sem um processo de Whitelist adequado, as ferramentas de segurança consultam esses links, uma ou mais vezes, gerando interações falsas em nome do utilizador ao qual foi dirigida a simulação.

No final das contas, isso impede a medição do comportamento do utilizador, que é o objetivo da simulação.


Um processo correto de Whitelist dos domínios e IPs a utilizar nas simulações de Phishing permitir-nos-á obter um resultado limpo e útil das nossas simulações.

Campanhas de teste

Para verificar se o nosso processo de Whitelist está a funcionar corretamente e se considerámos todas as ferramentas pertinentes, devemos realizar campanhas de simulação de Phishing de teste. Este tipo de campanhas não deve afetar as estatísticas do nosso programa de sensibilização, e permite-nos avaliar se tudo está em ordem antes de lançar a nossa campanha real.
As campanhas de teste são uma boa prática a ter em conta antes de lançar cada campanha de simulação de Phishing. Não basta fazê-lo apenas uma vez após implementar as listas brancas, pois é muito frequente que as ferramentas de segurança se atualizem, modifiquem, adicionem ou removam. Esta situação tem o potencial de arruinar uma campanha completa. E o faz.

Por isso, recomendamos realizar campanhas de teste no momento de avaliar qual cenário de simulação de Phishing enviar e no dia anterior à simulação.

Outros avisos de segurança

Após implementar a Whitelist em todos os sistemas correspondentes e no cliente de email, os utilizadores recebem as simulações na sua caixa de entrada na maioria dos casos.
Neste ponto, pode ocorrer a seguinte situação: ao abrir o email de Phishing simulado, encontram um aviso de segurança que indica que a mensagem é suspeita.


Este tipo de avisos de segurança são independentes da ferramenta de simulação de Phishing utilizada. A sua presença é condicionada por:

  • O cliente de email
  • As opções de configuração da Whitelist que este fornece
  • As configurações de cada utilizador em particular sobre o cliente de email e as ações que o utilizador realiza particularmente sobre os emails, como marcar como SPAM um determinado remetente.
  • O resultado da análise que as ferramentas de segurança realizam sobre o email, incluindo:
    • O conteúdo dos campos DE, CC, CCO, Reply To, e outros cabeçalhos do email como o Return-Path
    • O resultado da validação do email contra protocolos de segurança como SPF, DKIM e DMARC
    • As palavras ou expressões utilizadas no assunto ou no corpo do email
    • A presença ou ausência de links, sua reputação e características, como se estão encurtados ou não
    • A presença ou ausência de ficheiros anexados, seu nome, extensão e conteúdo
    • A presença ou ausência de imagens no email, sua relação com organizações reconhecidas, as URLs que referenciam, etc.

    Como remover esses avisos?

    Esses avisos de segurança não são um bug, nem um mau funcionamento, nem um erro das soluções de simulação de Phishing, mas sim o resultado da interação delas com outras tecnologias de proteção contra engenharia social. Eles não podem ser evitados completamente, pois isso depende da evolução e dos ajustes específicos das ferramentas de ataque e defesa.
    Geralmente, o cliente de email não oferece um método direto para removê-los, e por isso, a recomendação é mantê-los, já que não podemos controlar quando ou como serão exibidos para alguns utilizadores. Sua presença depende da análise de uma quantidade muito ampla de fatores sempre mutáveis. Na prática, pode-se observar que, mesmo dentro de uma organização, um mesmo utilizador sobre um mesmo email às vezes pode ver um aviso de segurança e às vezes não.

    Em suma, esses avisos estão presentes porque estamos simulando um Phishing real, e, portanto, é correto medir o comportamento dos nossos utilizadores neste cenário.

    Considerações finais

    As simulações de Phishing são uma ferramenta essencial diante da realidade atual, onde o Phishing ocupa o lugar principal em todos os relatórios de cibersegurança da última década.
    Medir o comportamento dos nossos utilizadores e implementar ações para promover uma cultura de segurança é o caminho correto para lidar com este risco e diminuir tanto a sua probabilidade de ocorrência quanto o seu impacto.

    Entender como essa técnica de medição interage com outras tecnologias é fundamental para manter o foco no relevante: a evolução dos hábitos dos utilizadores.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deixe um comentário