Uma simulação de phishing é um exercício de cibersegurança que testa a capacidade de uma organização de reconhecer e responder a um ataque de phishing.
Um ataque de phishing é um e-mail, mensagem de texto ou de voz fraudulento criado para induzir as pessoas a baixar malware (como ransomware), revelar informações confidenciais (como nomes de usuário, senhas ou detalhes de cartões de crédito) ou enviar dinheiro para as pessoas erradas.
Durante uma simulação de phishing, os funcionários recebem e-mails (ou mensagens de texto ou chamadas telefônicas) simulados de phishing que imitam tentativas reais de phishing. As mensagens empregam as mesmas táticas de engenharia social (por exemplo, passar-se por alguém que o destinatário conhece ou confia, criando um senso de urgência) para ganhar a confiança do destinatário e manipulá-lo para que tome medidas imprudentes. A única diferença é que os destinatários que mordem a isca (por exemplo, clicando em um link malicioso, baixando um anexo malicioso, inserindo informações em uma página de destino fraudulenta ou processando uma fatura falsa) simplesmente falham no teste, sem impacto adverso para a organização.
Em alguns casos, os funcionários que clicam no link malicioso simulado são levados a uma página de entrada indicando que foram vítimas de um ataque de phishing simulado, com informações sobre como identificar melhor os golpes de phishing e outros ataques cibernéticos no futuro. Após a simulação, as organizações também recebem métricas sobre as taxas de cliques dos funcionários e, muitas vezes, seguem com treinamento adicional de conscientização sobre phishing.
Estatísticas recentes mostram que as ameaças de phishing continuam aumentando. Desde 2019, o número de ataques de phishing cresceu 150% ao ano, com o Anti-Phishing Working Group (APWG) relatando um recorde histórico de phishing em 2022, registrando mais de 4,7 milhões de sites de phishing. De acordo com a Proofpoint, 84% das organizações em 2022 sofreram pelo menos um ataque de phishing bem-sucedido.
Como nem mesmo os melhores gateways de e-mail e ferramentas de segurança podem proteger as organizações de todas as campanhas de phishing, as organizações recorrem cada vez mais a simulações de phishing. Simulações de phishing bem elaboradas ajudam a mitigar o impacto dos ataques de phishing de duas maneiras importantes. As simulações fornecem informações das quais as equipes de segurança precisam para educar os funcionários a reconhecer melhor e evitar ataques de phishing na vida real. Elas também ajudam as equipes de segurança a identificar vulnerabilidades, melhorar a resposta geral a incidentes e reduzir o risco de violações de dados e perdas financeiras decorrentes de tentativas bem-sucedidas de phishing.
Os testes de phishing geralmente fazem parte de um treinamento mais amplo de conscientização de segurança conduzido por departamentos de TI ou equipes de segurança.
O processo geralmente envolve cinco etapas:
Depois de concluir essas etapas, muitas organizações compilam um relatório abrangente resumindo os resultados da simulação de phishing para compartilhar com os stakeholders relevantes. Algumas também usam os insights para aprimorar seu treinamento de conscientização de segurança antes de repetir o processo regularmente, para aprimorar a conscientização sobre cibersegurança e ficar à frente da evolução das ameaças cibernéticas.
Ao executar uma campanha de simulação de phishing, as organizações devem levar em consideração o seguinte.
Simulações de phishing e treinamentos de conscientização de segurança são medidas preventivas importantes, mas as equipes de segurança também precisam de recursos de detecção e resposta a ameaças de última geração para mitigar o impacto de campanhas de phishing bem-sucedidas.
Saiba mais sobre o IBM® QRadar SIEM