Em uma situação hipotética: é um dia agitado na empresa onde você trabalha, e todo mundo está afoito, tentando responder às solicitações. "Audrey" (uma funcionária da empresa), recebe um e-mail que parece vir de um parceiro, pedindo-lhe para verificá-lo, pois no mesmo consta um arquivo anexo. Ela, imediatamente, clica no PDF para fazer a verificação. Mas, ao invés de ver o pedido do parceiro, ela vê uma página de destino da equipe de segurança da empresa, deixando-a saber que foi vítima de um ataque de phishing simulado. Enquanto ela olha ao redor da sala, percebe que alguns colegas de trabalho também estão com olhares atônitos em seus rostos.
Phishers Lançam Ataques sem Limites
Se realmente um tal ataque de phishing poderia ter colocado as informações da sua empresa, tais como nomes de usuário, senhas, informações de cartão de crédito ou PINs de seus clientes em risco - não resta dúvida de que todas essas informações são altamente sensíveis e sua segurança corre muitos riscos. Segundo dados da Kaspersky Lab, phishers lançaram ataques que afetaram mais de 100.000 pessoas por dia no ano passado.
Apesar das tentativas por parte das empresas de software de segurança para detê-los, os cybercriminosos estão ficando cada vez mais audaciosos a cada dia. Um golpe recente, descoberto pela empresa de segurança Symantec, teve como alvo usuários do Google Drive, que é frequentemente usado por empresas para a colaboração. Os usuários enviaram uma mensagem com o cabeçalho do assunto "Documentos" e foram direcionados para uma página de login que teria sido espelhada no Google.
Depois de conectados, os usuários foram enviadas para um script PHP em um servidor Web comprometido. Esta página então, redirecionou para um documento verdadeiro Google Drive, deixando os visitantes sem saber que suas credenciais de login tinha sido roubadas. Com base nos olhares assustados dos funcionários afetados, o ataque de phishing simulou que Audrey e seus colegas de trabalho passaram por uma experiência de sobressalto, mas será que ele tornará a empresa mais segura contra ameaças virtuais?
Ataques Simulados Ajudam a Educar mas Precisam de Complementos
Os ataques de phishing afetam milhares de empresas a cada ano, mas não é o único problema que elas enfrentam: na sequência, vem ataques de malware; ataques físicos a dados da empresa por parte dos trabalhadores que se apresentam com o pessoal de serviço e ataques voltados especificamente para dispositivos móveis estão em ascensão, e são apenas alguns exemplos dos muitos vetores de ameaças existentes. O ataque de phishing simulado orquestrado pela equipe de segurança da empresa, fornece uma chamada wake-up, mas não é a única solução de educação de segurança que a empresa precisa.
De acordo com o executivo, as pessoas tem que se preocupar com mais do que apenas phishing. Infelizmente, os ataques a dados são contra usuários propensos a clicar em links ou documentos que vem em e-mail de seu laptop. Por exemplo, o acesso pode ser concedido através de um link que o usuário recebe via texto ou informações dadas por um funcionário por telefone. Além disso, malware pode ser baixado através de um telefone móvel ou clicando em algo em um site perfeitamente legítimo.
Necessidade de Conscientizar Funcionários Sobre os Riscos Constantes Relacionados à Segurança
Mas essas ocorrências so ensinam no momento em que vem para o âmbito prático. Sim, o ataque simulado fez o seu trabalho, a sua parte, funcionando como a criação de um fator de choque. Mas, o que vem a seguir? Como você pode reduzir o risco de que isso aconteça novamente na mesma proporção ou em uma forma ligeiramente diferente? Os empregados têm informações práticas sobre como evitar o próximo ataque?
Não tem como medir a vulnerabilidade a todos os ataques. Se os empregados foram pegos em um ataque de phishing simulado, será que eles também seriam presas fáceis para outros tipos de ataques ? Como você pode entender a vulnerabilidade completa de cada funcionário? Como pode ser visto nessa explanação, os ataques simulados podem fornecer valor na avaliação da vulnerabilidade, mas não fornecem a resposta completa para os CISOs. Dessa forma, é necessário que haja uma abordagem mais completa.
Ilusão de Imunidade Contra Ameaças Cibernéticas
No entanto, um grande problema que os agentes de segurança enfrentam é que a maioria dos funcionários acha que são imunes a ameaças de segurança. Apesar da alta cobertura de notícias sobre grandes violações de dados e apesar de contos narrados por seus colegas de trabalho e amigos sobre a perda de seus laptops durante alguns dias, até que uma infecção por malware seja esclarecida, os funcionários em geral acreditam que são imunes a riscos de segurança. Na concepção deles, esse tipo de coisas acontecem com outras pessoas menos cuidadosas.
Ataques simulados têm certas vantagens. Por exemplo, eles podem chocar funcionários complacentes, mesmo que de forma momentânea. A simulação faz com que algumas pessoas possam perceber o quão vulneráveis são em relação a engenharia social. O mais importante, é que uma situação assim pode fazer com que os funcionários façam uma pausa na próxima vez que verem alguma coisa potencialmente suspeita.
Phishings Simulados Despertam Senso de Atenção e Proteção
Além disso, ele pode ser um motivador para as pessoas certas. Após os ataques de phishing falsos, os funcionários pensam: "se eu sou vulnerável a isso, a que mais eu estou vulnerável?", e isso é uma vitória para a equipe de segurança, pois a conscientização em relação à vulnerabilidade começa a dar os seus primeiros sinais. Além disso, os ataques Mock também pode ajudar a "quebrar paredes". Eles podem ajudar a criar um canal valioso de comunicação entre usuários e a equipe de segurança de TI. Ele também ajuda as pessoas a entender que elas podem denunciar phishing e outros ataques maliciosos ao seu departamento de TI, mesmo que isso acabe sendo um alarme falso.
Criando o Melhor dos Dois Mundos
Como foi possível observar, os ataques simulados podem completar parte do quadro da educação de segurança. Como parte de uma estratégia de educação abrangente de segurança, eles tornam-se uma valiosa forma de testar e medir o progresso do intuito a ser alcançado. Os funcionários que estão cientes do plano da empresa para realizar esporadicamente eventos simulados, são muitas vezes, mais cuidadosos, adotando um processo de pensamento: "Se você vir alguma coisa anômala, não deixe de se pronunciar sobre o que viu".
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1994&p=2