Por que um treinamento de Pishing é necessário?

O que é treinamento em phishing?

Com que frequência você recebe um e-mail que sabe que é uma fraude? Talvez sejam as palavras com erros ortográficos ou a formatação irregular que o denunciam, ou a linha de assunto que chama a atenção e o faz parar.
É provável que, como profissional de segurança cibernética ou de TI, você consiga identificar um e-mail de phishing sem nenhum problema. Mas será que seus funcionários conseguem?

Como os crimes cibernéticos de todos os tipos, e o phishing em particular, atingirão novos patamares neste ano de 2023, é importante que cada pessoa em sua organização seja capaz de identificar um ataque de phishing e desempenhar um papel ativo para manter a empresa e seus clientes seguros.

O treinamento de conscientização sobre ataques de phishing é um programa educacional que ensina às pessoas:

O que são ataques de phishing e como eles funcionam
Como identificar e-mails de phishing e outros métodos de ataque
As medidas que uma pessoa pode tomar para evitar ser vítima de um ataque de phishing
Como denunciar uma suspeita de ataque de phishing

O que é Pishing?

Phishing é um golpe de e-mail que se faz passar por uma pessoa ou organização respeitável com a intenção de roubar nomes de usuário e senhas ou outras informações confidenciais, como dados. Embora o e-mail seja o tipo mais comum de ataque de phishing, dependendo do tipo de golpe de phishing, o ataque pode ocorrer por meio de uma mensagem de texto (“smishing”) ou até mesmo uma mensagem de voz (“vishing”).

Por que você precisa de treinamento em phishing?

À medida que os incidentes de phishing aumentam e mais atividades ocorrem on-line, é absolutamente fundamental que as organizações tomem medidas para proteger a empresa e seus ativos digitais. Infelizmente, as pessoas podem ser uma de suas maiores vulnerabilidades, lançando, sem querer, ataques de malware ou ransomware simplesmente clicando em um link malicioso ou baixando um arquivo corrompido.

O mais recente Internet Crime Report do Internet Crime Complaint Center (IC3) do FBI, publicado em março de 2022, revela um aumento de 280% nos golpes de phishing desde o início da pandemia de COVID-19 no início de 2020. Esse salto significativo indica a intenção contínua dos criminosos cibernéticos de explorar as pessoas como uma forma de obter acesso aos sistemas corporativos e avançar seus planos de ataque.

Embora muitas empresas utilizem tecnologias como soluções antivírus e detecção e resposta de endpoints (EDR) para ajudar a limitar os riscos, essas ferramentas não são infalíveis. Além disso, à medida que os criminosos cibernéticos se tornam mais avançados, algumas ferramentas, especialmente as soluções gratuitas ou econômicas, podem se tornar menos eficazes na sinalização de mensagens suspeitas. Isso significa que cabe aos seus funcionários ajudar a sua empresa a vencer a luta contra o phishing.

O treinamento em phishing é eficaz?

Como em qualquer treinamento corporativo ou programa de TI, a resposta depende. A qualidade do programa, a disposição do indivíduo para aprender e a cultura da empresa influenciarão a eficácia de um programa de treinamento de phishing a curto e longo prazo.

Como muitas organizações de TI não têm conhecimento aprofundado sobre segurança cibernética, pode ser muito útil contratar um parceiro de confiança para avaliar o nível de conscientização da organização, identificar lacunas no conhecimento e desenvolver as habilidades e os processos para garantir que todos os funcionários estejam prontos, dispostos e aptos a combater o phishing e outros riscos cibernéticos.

Etapas para implementar o treinamento de conscientização sobre phishing

A conscientização sobre phishing deve ser um componente essencial do programa geral de treinamento em segurança cibernética de todas as empresas. A seguir, descrevemos as etapas que as empresas devem seguir ao implementar um treinamento de conscientização sobre phishing.

Planeje os materiais educativos para os funcionários
Como primeira etapa, a equipe de TI deve realizar uma pesquisa intensiva ou fazer parceria com um fornecedor ou especialista em segurança cibernética de boa reputação para entender os riscos exclusivos que a empresa enfrenta. Como parte desse processo, a equipe deve analisar todos os incidentes anteriores que a empresa possa ter sofrido, bem como as ferramentas, as políticas e os procedimentos existentes que podem ajudar a evitar futuros ataques.
A partir daí, a organização deve desenvolver um programa de treinamento personalizado, bem como ferramentas suplementares, como questionários e simulações, para ajudar os funcionários a fortalecer sua conscientização sobre segurança, adotar práticas recomendadas e observar as políticas da empresa.

O que os materiais educativos devem abordar?

Embora a situação de cada organização seja única e a maioria exija um programa de treinamento personalizado, o currículo sobre phishing deve abranger os seguintes tópicos:

O padrão típico de ataque de phishing
Técnicas comumente usadas pelos criminosos cibernéticos
Características típicas das mensagens de phishing
A intenção dos atacantes e os resultados típicos de eventos bem-sucedidos
O que não fazer se um destinatário suspeitar que um e-mail pode fazer parte de uma campanha de phishing
Como denunciar adequadamente as campanhas de phishing à equipe de TI e às autoridades

Estima-se que 50 a 70% dos ataques de ransomware tenham como alvo empresas de pequeno e médio porte, provavelmente porque os adversários acreditam que as organizações menores não têm medidas de segurança robustas para defender a empresa e seus dados.
Para minimizar esse risco, as empresas, especialmente as pequenas e médias, precisam desenvolver um programa de treinamento de segurança cibernética para os funcionários que os instrua sobre os riscos comuns à segurança, promova um comportamento on-line responsável e descreva as medidas a serem tomadas quando acreditarem que um ataque possa estar em andamento.

Atribua um questionário de treinamento sobre ataques de phishing
Após a conclusão do treinamento, é importante avaliar o conhecimento e a conscientização dos participantes sobre o tópico e sua capacidade de identificar e-mails e mensagens de phishing.

Implemente campanhas simuladas de phishing
Todo programa de treinamento também deve incluir testes de phishing simulados regulares e sem aviso prévio para reforçar o currículo, identificar pontos fracos persistentes e manter a segurança cibernética na mente das pessoas.
Esses testes podem ser feitos na forma de e-mails, mensagens SMS ou mensagens de voz enviadas e monitoradas pela equipe de TI. As pessoas que clicam em um link, fazem download de um arquivo ou respondem a uma mensagem podem ser redirecionadas para recursos de treinamento relevantes para ajudá-las a melhorar sua conscientização e suas habilidades de segurança cibernética. A equipe também pode usar os resultados desses exercícios para refinar os materiais de treinamento ou criar cursos personalizados sobre tópicos importantes.

Ensine os funcionários a denunciar ataques de phishing
Todo programa de treinamento de conscientização sobre phishing também deve ensinar às pessoas as medidas que devem tomar para gerenciar com segurança e-mails suspeitos de phishing. Isso inclui:

Não abrir, responder ou interagir com e-mails suspeitos
Comunicar imediatamente o evento suspeito de phishing à equipe de TI
Informar os colegas de equipe e de trabalho para que fiquem atentos a mensagens semelhantes

DICA DE ESPECIALISTA
Para tornar a Internet um lugar mais seguro para todos, os grupos de TI corporativos também devem denunciar o phishing às autoridades competentes: phishing-report@us-cert.gov.

Avalie os resultados e faça testes regularmente
Como o phishing é uma ameaça em evolução e persistente, as organizações devem realizar cursos regulares de atualização, bem como programas personalizados para ensinar as pessoas sobre novas campanhas, técnicas e características de phishing.
A equipe de TI também deve realizar testes e simulações regulares para garantir que os funcionários permaneçam vigilantes na luta contra o phishing. Os resultados desses testes podem ser usados para refinar o programa de treinamento e fornecer instruções intensivas a indivíduos ou equipes que possam estar sob maior risco de comprometimento.

Forneça recursos de phishing prontamente disponíveis
Também pode ser útil – e tranquilizador! – informar as pessoas sobre as medidas adicionais que a equipe de TI está tomando para limitar o risco de phishing e outros ataques cibernéticos. Isso pode incluir uma ampla variedade de ferramentas, serviços, políticas e procedimentos de segurança projetados para limitar a exposição a ataques de phishing em primeiro lugar. Essas ferramentas podem incluir:

Software antivírus que pode evitar, detectar e remover malware que entra no sistema por meio de phishing.
Filtros antispam que usam listas de bloqueio predefinidas criadas por pesquisadores de segurança especializados para mover automaticamente os e-mails de phishing para a pasta de lixo eletrônico do usuário.
Atualizações regulares do navegador e do software para proporcionar defesas mais fortes contra golpes de phishing, já que ataques novos e inovadores são lançados todos os dias.
Autenticação multifator (MFA), que exige um segundo nível de verificação, como um código de acesso enviado ao seu telefone, antes de obter acesso a uma conta confidencial.
Saiba mais.

Fonte

CrowdStrike – Pishing Attack Training

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.