Se simulasse um ataque de phishing à sua empresa, como acha que os usuários se comportariam?
A Sophos criou um simulador de ataques de phising, o Sophos Phish Threat. Permite que seu departamento de TI envie phishing falsos com aparência realista, para a sua equipa, para que, se eles caírem no golpe e clicarem ... será apenas um teste.
Neste artigo iremos partilhar alguns resultados que surgiram com o uso o Sophos Phish Threat.
Com o Sophos Phish Threat poderá customizar os seus próprios modelos de simulação de golpes e construir seus próprios phishing falsos. O produto inclui uma ampla coleção de modelos personalizados que são atualizamos regularmente.
A ideia é rastrear a aparência de golpes do mundo real de todos os tipos, desde avisos assustadores de destruição iminente até mensagens discretas que dizem pouco mais do que “Consulte o arquivo em anexo.”
Qual o melhor pior ataque registado?
Após algum tempo de uso do Sophos Phish Threat, a equipa de ameaças de phishing da Sophos tentou perceber quais são os modelos de phishing que oferecem os melhores, ou talvez mais precisamente, os piores resultados.
As respostas cobriram uma ampla gama de temas de phishing, mas tinham um traço comum: nenhum deles era uma ameaça muito séria.
A maioria deles, lidava com temas não urgentes ou assustadores. Todos pareciam temas prováveis e descomplicados o suficiente para ser o usuário querer resolver rapidamente, bastando para isso clicar seguir as instruções da mensagem.
O Top 10 dos truques de phishing
Regras de conduta. Esta parecia ser uma carta do RH descrevendo as novas Regras de Conduta da empresa. Com o interesse global em aumentar a diversidade no local de trabalho e reduzir o assédio, muitas empresas têm revisado as suas diretrizes de emprego. A maioria dos funcionários sabe que deve ler as novas diretrizes e que a equipa de RH é obrigada a insistir até que o façam. Em consequência, clicar neste link parece uma tarefa que irá resolver o assunto facilmente.
Manutenção programada do servidor. Foi uma surpresa que este estivesse em 3º lugar, porque presumimos que a maioria das pessoas estaria inclinada a ignorar mensagens de TI desse tipo, com o fundamento de que não poderiam ter nenhuma influência
sobre isso. No entanto, numa altura em que tantas pessoas estão em home working, suspeitamos que as pessoas gostam de saber quando há probabilidade de interrupções para que possam programar as suas vidas em torno delas.
Tarefas atribuídas a si. Nesta mensagem, o usuário da Phish Threat pode escolher um sistema de gestão de projeto que a sua própria empresa usa, para que o e-mail não se destaque como obviamente falso. Embora isso torne-se um phishing semi-direcionado, deve presumir que as ferramentas de negócios usadas na sua empresa são amplamente conhecidas e fáceis para os criminosos descobrirem, talvez até automaticamente.
Novo teste de sistema de e-mail. É fácil ser-se útil, bastando para tal dar um clique rápido.
Atualização da política de férias. Graças ao bloqueio e quarentena do coronavírus, reservar e tirar férias é actualmente, uma questão complicada. Muitas empresas estão adaptando as suas políticas de férias. Como ninguém quer correr o risco de perder uma folga, pode ser induzido neste truque.
Luzes do carro acesas. Nesta mensagem, assume-se que o gerente de serviços gerais esta a quere ajudar alguém, ao relatar um carro com as luzes acesas. Podemos argumentar que seria mais normal que ele postasse uma foto ou a matrícula da viatura. Contudo, devido a algumas practicas de segurança, não enviam as matrículas e uma foto da viatura não deveria mostrar a matrícula de qualquer modo.
Falha na entrega do serviço de correio. Este é um truque experimentado e testado, que os vigaristas usam há anos. Quando recebemos entregas de documentos por courier, cabe ao fornecedor decidir qual a empresa de courier que irá usar. Nesse caso poderá não saber quem irá fazer a entrega.
Documento confidencial. O que pode querer passar por um “documento confidencial” dos RH, poderá dar-lhe uma razão para seguir um caminho incomum para visualizá-lo. Esse truque é amplamente usado por criminosos de phishing como motivo para convencê-lo a inserir senhas onde normalmente não seria necessário, ou para ajustar as configurações de segurança do seu computador - aparentemente para melhorar a segurança, mas na realidade para reduzi-la.
Mensagem de redes sociais. Esta era uma notificação simulada do LinkedIn notificando-lhe que “José enviou-lhe uma nova mensagem”. O LinkedIn parece estar desfrutando de um aumento na popularidade agora, o que não é surpreendente, considerando quantas pessoas perderam seus empregos ou tiveram suas horas de trabalho reduzidas por causa do coronovírus. É tentador clicar, com medo de perder a mensagem.
O que fazer para proteger-se?
Pense antes de clicar. Mesmo que a mensagem pareça inocente à primeira vista, verifique se há alguma oferta fraudulenta que seja óbvia se você verificar. Os exemplos incluem: erros ortográficos que você duvida que o remetente cometeria, terminologia que não é conforme com a que a sua empresa usa, ferramentas de software que a sua empresa não usa e, comportamentos
suspeitos, como alterar as configurações de segurança que sabe que não deve alterar.
Verifique com a pessoa que enviou o email, se não tiver certeza. Mas nunca verifique respondendo ao e-mail para perguntar se é genuíno - receberá a resposta "Sim" de qualquer maneira, porque um remetente legítimo diria a verdade, mas um vigarista mentiria. Use um diretório corporativo acessível por meios confiáveis para encontrar uma maneira de entrar em contato com um colega, que você acha que foi falsificado.
Verifique os links, antes de clicar. Muitos e-mails de phishing contêm texto e imagens sem erros. Mas os criminosos muitas vezes dependem de servidores de nuvem temporários ou sites hackeados para hospedar suas páginas da web de phishing, e o subterfúgio geralmente aparece no nome de domínio que eles desejam que visite. Não se deixe enganar porque o nome de um servidor parece "próximo o suficiente" - os vigaristas costumam registrar nomes quase correctos, como suaempresa, ou o website da sua empresa, usando erros ortográficos, caracteres semelhantes ou texto adicionado.
Reporte e-mails suspeitos à sua equipa de segurança de TI. Adquira o hábito de fazer isso todas as vezes, mesmo que pareça uma tarefa ingrata. Os criminosos de phishing não enviam seus e-mails apenas para uma pessoa de cada vez, então, se você for o primeiro na empresa a detectar um novo golpe, um aviso antecipado permitirá que seu departamento de TI avise a todos que possam ter recebido também.
Se faz parte da equipa de segurança de TI e não tem uma maneira rápida e fácil para a sua equipa reportar possíveis problemas de segurança cibernética, como ligações suspeitas ou e-mails duvidosos, sugerimos que crie um endereço de email interno, fácil de ser lembrado, para o qual os seus colegas possam enviar alertas de phishing?
É relativamente fácil tornar os seus colegas, nos olhos e ouvidos da equipa de segurança.
Quando se trata de cibersegurança, um ataque a uma pessoa, é um ataque a todos.
A GO4IT é especializada em cibersegurança, sistemas informáticos e soluções de software. Se precisar informações para ajudar-lhe a escolher a plataforma mais adequada para a sua empresa, contacte-nos