Vídeo: Vida pela Culatra 21-06-2020 (Novembro 2024)
Os espiões cibernéticos desenvolvem rootkits elaborados e malwares habilmente ocultos para roubar segredos e ouvir comunicações privilegiadas. Para instalar essas ferramentas de espionagem, elas geralmente contam com o elemento mais fraco na arena de segurança; o usuário. Campanhas educacionais para aumentar a conscientização sobre segurança podem ser uma grande ajuda, mas há um caminho certo e um caminho errado para isso.
Levantando bandeiras vermelhas
O Washington Post informou na semana passada que um comandante de combate do exército se encarregou de avaliar a capacidade de sua unidade em detectar mensagens de phishing. Sua mensagem de teste direcionou os destinatários (menos de 100 deles) a visitar o site do plano de pensão para obter uma redefinição de senha necessária. No entanto, a mensagem é vinculada a um site falso, com um URL muito semelhante ao real da agência, o Thrift Savings Plan.
Os destinatários eram espertos; nenhum deles clicou no link falso. No entanto, eles compartilharam o email suspeito com "milhares de amigos e colegas", causando uma enxurrada de chamadas para o atual Thrift Savings Plan, que durou semanas. Eventualmente, o chefe de segurança do plano de pensão localizou a mensagem em um domínio do Exército, e o Pentágono localizou o agressor. Segundo o post, o comandante sem nome "não foi repreendido por agir por conta própria, porque as regras eram vagas".
O fato de o Thrift Savings Plan ter sofrido uma violação real em 2011 aumentou o fator de preocupação dos funcionários federais afetados. Um oficial de defesa disse ao Post: "Este é o ninho das pessoas, sua economia suada. Quando você começou a ouvir o TSP de todas as coisas, o boato corria desenfreado". A agência continua a receber chamadas preocupadas com base no teste de phishing.
A publicação relata que quaisquer futuros testes de phishing exigirão a aprovação do diretor de informações do Pentágono. Qualquer teste envolvendo uma entidade do mundo real como o Thrift Savings Plan exigirá permissão prévia dessa organização. O diretor executivo da TSP, Greg Long, deixou bem claro que sua organização não participaria.
Completamente errado
Então, onde esse comandante do exército deu errado? Uma postagem recente no blog do CTO do PhishMe, Aaron Higbee, diz: bem, em quase todos os lugares. "Este exercício cometeu todos os pecados capitais do phishing simulado por não ter objetivos definidos, por não considerar as ramificações que o email poderia ter, por não se comunicar com todas as partes potencialmente envolvidas e talvez por abusar de marcas registradas / imagem comercial ou material protegido por direitos autorais", disse Higbee.
"Para ser eficaz, um ataque de phishing simulado precisa fornecer ao destinatário informações sobre como melhorar no futuro", disse Higbee. "Uma maneira fácil de fazer isso é permitir que os destinatários saibam que o ataque foi um exercício de treinamento e forneça treinamento imediatamente após a interação com o email".
"As pessoas freqüentemente questionam o valor que o PhishMe fornece, dizendo que podem realizar exercícios simulados de phishing internamente", observou Higbee. "Aqueles com essa mentalidade devem considerar a recente gafe do Exército como um conto de advertência." Identificando o PhishMe como "o campeão indiscutível dos pesos pesados" da educação em phishing, ele concluiu: "Nos últimos 90 dias, o PhishMe enviou 1.790.089 e-mails. A razão pela qual nossas simulações de phishing não são manchetes nacionais é que sabemos o que estamos fazendo".
O Caminho Certo
Uma organização que contrata o PhishMe para educação em phishing pode escolher uma variedade de estilos de email de teste, nenhum dos quais envolve a simulação de terceiros como o TSP. Por exemplo, eles podem gerar uma mensagem que oferece aos funcionários um almoço grátis. Tudo o que eles precisam fazer é entrar no site da ordem do almoço "usando seu nome de usuário e senha de rede". Outra abordagem é um ataque de cano duplo que usa um email para dar suporte à validade de outro - uma tática usada em ataques de ameaças persistentes avançadas no mundo real.
Qualquer que seja o estilo de e-mail de phishing escolhido, qualquer usuário que se apaixona recebe feedback e treinamento imediatos, e o gerenciamento obtém estatísticas detalhadas. Com repetidas rodadas de testes e treinamento, o PhishMe teve como objetivo reduzir o risco de penetração na rede via phishing em "até 80%".
A maioria das organizações está bem protegida contra ataques de rede que chegam pela Internet. A maneira mais fácil de penetrar na segurança é enganar um funcionário crédulo. A proteção contra phishing embutida nos modernos conjuntos de segurança funciona bem contra golpes no estilo broadcast, mas os ataques direcionados ao "spear phishing" são outra história.
Se você está encarregado da segurança da sua organização, realmente precisa educar esses funcionários para que não sejam enganados. Você pode gerenciar o treinamento sozinho, mas, se não, treinadores de terceiros como o PhishMe estão prontos para ajudar.