Simulação de Phishing: conheça os processos para criar um ambiente mais seguro

Isaque Costa

Saiba a importância de ações de conscientização para a segurança digital de uma empresa.

Você já clicou em um link de uma promoção imperdível que recebeu por e-mail? Se a resposta for sim, têm grandes chances de você ter sido vítima de um phishing, ataque no qual os criminosos conseguem ter acesso a suas senhas, logins, dados bancários e podem também infectar seu dispositivo com algum malware.

Esse tipo de ataque é um dos grandes responsáveis pelos vazamentos de dados de grandes empresas. Segundo a pesquisa divulgada pela companhia de tecnologia de Segurança da Informação, ESET, a mensagem falsa foi o ciberataque mais aplicado em 2018 na América Latina. Por conta disso, companhias contratam serviços especializados em disparar simulação de phishing para conscientizar e educar seus colaboradores.

Entenda como funciona uma simulação de phishing

Essa é uma prática extremamente eficaz para tentar barrar ataques de cibercriminosos. Ao simular uma mensagem falsa dentro da instituição, as equipes de Segurança da Informação conseguem saber o nível de fragilidade de seus funcionários. Com isso, conseguem trabalhar até de forma individual para fortalecer o grau de conhecimento em relação à proteção de dados de seus servidores. Conheça quais são os processos de uma simulação.

  • Escolhendo o nível de complexidade

Primeiramente, é preciso conhecer o cenário da empresa na qual será aplicada a simulação e entender qual estratégia funcionaria melhor, para que o e-mail falso, ou mote como é chamado, seja criado e enviado aos colaboradores de uma forma mais eficaz. Uma promoção de restaurante, uma atualização de sistema ou o sorteio de uma viagem são boas opções para iniciar uma simulação de phishing.

  • Métricas

Após definir a quantidade de envios, quais informações serão colhidas e o dia e horário que mais se ajustam à estratégia, é possível saber quantas pessoas colocaram dados indevidos no site simulado.

  • Campanha direcionada

A campanha direcionada é recomendada para colaboradores que já compreendem o reconhecimento básico de uma ameaça. Ou seja, após o colaborador já entender como funciona um phishing básico como por exemplo uma multa é recomendado aumentar a complexidade das simulações usando motes mais direcionados.

  • Comparativo

O ideal é repetir o processo após um determinado tempo, para ter conhecimento de quanto a compreensão dos colaboradores em relação à Segurança da Informação, evoluiu.

Conheça outras atividades de análise de risco

Com o detalhamento de informações acerca da fragilidade dos contratados, outras ações, em conjunto com a simulação de phishing, podem ser aplicadas para fortalecer a proteção de dados da entidade.

  • Dumpster Diving

É uma técnica de explorar lixos secos em busca de materiais descartados na íntegra. Desta forma é possível verificar se está havendo descarte seguro de documentos por parte dos colaboradores.

  • Ronda de Mesa e Tela Limpa

Esta ação contribui bastante para a proteção do ambiente físico, também muito importante para a proteção de dados. É feito uma vistoria nos postos de trabalhos para verificar se não é encontrado computador destravado, senhas e informações confidenciais expostas e dispositivos não autorizados conectados, por exemplo.

  • Web Crawler

Solução  focada em analisar a exposição das empresas, com base no comportamento de seus colaboradores nas redes sociais. Por meio de hábitos de risco, como a exposição de telas de computador, crachás, áreas e cargos.

Fique atento!

Os hackers estão evoluindo cada vez mais suas técnicas de enviar phishing e invadir sistemas operacionais. São ações de Segurança da Informação, como essas, que visam informar e capacitar o colaborador que protege de fato uma organização. O Eskive é especialista nessas práticas de conscientização, leia outros textos do nosso blog e se proteja.