Como preparar as equipes para uma simulação de ataque phishing?

Ao longo do ano passado, percebi que organizações de pequeno e médio porte têm feito um trabalho melhor reagindo a vulnerabilidades e “zero days”. Como resultado, os invasores mudaram para métodos diferentes. Em vez de nos atacar por meio de nossos sistemas operacionais, os invasores têm como alvo as ferramentas de controle remoto, nossos consultores e, mais importante, nossos usuários, por meio de ataques de phishing.

As empresas tentaram “corrigir o ser humano” usando simulações de phishing. Essas simulações geralmente são menos do que ideais e às vezes antiéticas. Recentemente, GoDaddy enviou simulações de phishing para mais de 7.000 de seus funcionários. A simulação de phishing foi um e-mail enviado pela empresa oferecendo um bônus de Natal de US$ 650 e pedindo que preenchessem um formulário com seus dados pessoais. Quase 500 funcionários falharam na simulação.

A simulação de phishing provocou uma reação pública e foi criticada porque seu conteúdo mostrava falta de sensibilidade às dificuldades econômicas que ocorrem neste período de pandemia. A empresa pediu desculpas a seus funcionários por seu processo de teste insensível.

Educar os usuários ajuda a manter seu sistema seguro, mas suas iscas de phishing devem ser sensíveis a questões externas e projetadas para educar, não envergonhar o funcionário. Veja o fracasso deles em passar no teste como sua falha em treiná-los e protegê-los. A chave para uma boa educação é não torná-la um evento que desencadeie um incidente de relações públicas, mas sim uma técnica de reforço constante.

Uma campanha de simulação de phishing não pode ser eficaz a menos que você tenha preparado adequadamente seus usuários para ela. Aqui está o que você precisa ensinar ou fornecer antes de testá-los.

Explique os métodos e motivos do invasor

Antes de lançar um teste, ensine a seus usuários que os invasores os visam com base em temas e comportamentos. Os invasores sabem quais informações as pessoas desejam. Por exemplo, começamos 2020 com invasores direcionando-se a iscas de phishing com base em temas Covid-19, como ofertas de informações da Organização Mundial de Saúde ou equipamentos de proteção individual.

À medida que o ano avançava, os cibercriminosos se voltaram para outros eventos que chamaram a atenção, como os protestos Black Lives Matter. À medida que a eleição se aproximava, as iscas de phishing também mudavam de rumo. Por isso, eduque seus usuários para estarem cientes das notícias que podem ser usadas como isca, para não confiarem nas chamadas de links de e-mail ou para navegarem até esses locais em uma máquina confiável.

Ensine boas práticas de senha

Explique como os invasores usam essas manchetes como ganchos para induzi-los a fornecer suas credenciais e como isso orienta sua política de senha. Estamos em um ponto crítico no gerenciamento de credenciais. Por muitos anos, o processo padrão que usamos para proteger nossas credenciais era mudá-las. Frequentemente. Isso levava ao cansaço das credenciais, pois mudávamos ligeiramente nossas senhas adicionando letras ou caracteres. Agora vemos uma mudança para a adoção de mais técnicas “sem-senha”, bem como a autenticação de dois fatores para melhor proteger nossas contas.

Forneça um conjunto de links confiáveis

Eduque seus usuários a usar um conjunto de links confiáveis em vez de clicar em links de e-mails. Por exemplo, se um usuário receber uma solicitação por e-mail para alterar uma senha de rede, ele deve saber usar o link confiável em vez do que está no e-mail.

Da mesma forma, seus administradores devem configurar uma estação de trabalho de administração confiável. Como um administrador de rede que precisa clicar em alguns links administrativos da Microsoft, e agora adiciona os links que utiliza para entrar em vários portais administrativos. Para qualquer estação de trabalho de administrador, certifique-se de que esses links sejam abertos apenas em um local confiável. Faça o mesmo para PowerShell ou outras soluções de script. Use uma estação de trabalho protegida, também remotamente, com a intenção de ser usada apenas para essa função.

Explique como identificar links problemáticos

Eduque seus usuários para que eles sempre acessem links com HTTPS, em vez de um site não seguro que comece com HTTP. A capacidade de determinar se os certificados SSL são adequados e vinculados a certificados de raiz adequados é difícil, mesmo para especialistas. O melhor que você pode fazer é instruir o usuário a garantir que os sites tenham um certificado de site e que o cadeado esteja no lugar. Como alternativa, você pode usar as ferramentas do navegador para forçar o uso de SSL.

Instrua seus usuários a passar o mouse sobre os links antes de clicar. Mesmo se você tiver a filtragem de links ativada em seu software de e-mail ou firewall, certifique-se de que seus usuários saibam como revisar links em e-mails. Se eles estiverem em dúvida, certifique-se de que entendam seu processo de verificação, que pode incluir o encaminhamento de e-mails para análise.

Execute ataques de phishing simulados aleatórios regularmente e use o processo para educação, não para repreender seus funcionários. Se você tiver acesso ao Microsoft Defender para Office 365 Plano 2, poderá executar seus ataques de teste por meio do Simulador de Ataque no Centro de Segurança e Conformidade.