Como implementar treinamentos de conscientização sobre ataques de phishing

O que é treinamento de phishing?

Com que frequência você recebe um e-mail que sabe tratar-se de uma fraude? Talvez sejam as palavras com erros de ortografia ou a formatação irregular que o denunciam, ou o assunto chamativo que faz você parar para pensar. Provavelmente, como profissional de cibersegurança ou TI, você consegue identificar sem grandes dificuldades um e-mail de phishing. Mas será que seus funcionários também conseguem?

À medida que ciber crimes de todos os tipos - e o phishing em particular - atingem novos patamares em 2023, é importante que cada pessoa da sua organização seja capaz de identificar um ataque de phishing e desempenhar um papel ativo para manter a empresa e os clientes seguros.

O treinamento de conscientização sobre ataques de phishing é um programa educacional que ensina as pessoas:

• O que são ataques de phishing e como funcionam
• Como identificar e-mails de phishing e outros métodos de ataque
• Passos que uma pessoa pode tomar para evitar ser uma vítima de um ataque de phishing
• Como denunciar uma suspeita de ataque de phishing

Por que você precisa de treinamento em relação ao phishing?

À medida que os incidentes de phishing aumentam e mais atividades acontecem on-line, é absolutamente essencial que as organizações tomem medidas para proteger a empresa e seus ativos digitais. Infelizmente, as pessoas podem ser uma das maiores vulnerabilidades, espalhando involuntariamente malware ou ransomware simplesmente por clicar em links maliciosos ou baixar arquivos infectados.

O mais recente Relatório de Crimes na Internet do Centro de Reclamações de Crimes na Internet (IC3) do FBI, publicado em março de 2022, revela um aumento de 280% nos golpes de phishing desde o início da pandemia de COVID-19, no início de 2020. Esse salto significativo indica a intenção contínua dos ciber criminosos de explorar pessoas como forma de obter acesso aos sistemas corporativos e promover seus planos de ataque.

Embora muitas empresas utilizem tecnologias como soluções antivírus e detecção e resposta de endpoint (EDR) para ajudar a limitar o risco, essas ferramentas não são infalíveis. Além disso, à medida que os ciber criminosos se tornam mais avançados, algumas ferramentas, especialmente soluções gratuitas ou de baixo custo, podem se tornar menos eficazes na sinalização de mensagens suspeitas. Isso significa que cabe ao seu funcionário ajudar a empresa na luta contra o phishing.

O treinamento contra phishing é eficaz?

Como em qualquer treinamento corporativo ou programa de TI, a resposta é relativa. A qualidade do programa, a disposição do indivíduo em aprender e a cultura da empresa influenciarão na eficácia do programa de treinamento de phishing em curto e longo prazo.

Dado que muitas organizações de TI carecem de conhecimentos profundos em cibersegurança, pode ser muito útil contratar um parceiro de confiança para avaliar o nível de sensibilização da organização, identificar lacunas de conhecimentos e desenvolver as competências e os processos para garantir que todos os funcionários estejam prontos, dispostos e capacitados para combater o phishing e outros riscos cibernéticos.

Etapas para implementar o treinamento de conscientização sobre phishing

A conscientização sobre phishing deve ser um componente essencial no programa geral de treinamento em cibersegurança de todas as empresas. Aqui descrevemos as etapas que as empresas devem seguir ao implementar um treinamento de conscientização sobre phishing.

1. Planeje materiais educacionais do funcionário

Como primeiro passo, a equipe de TI deve conduzir uma pesquisa intensiva ou fazer parceria com um fabricante ou especialista em cibersegurança respeitável para entender os riscos específicos que a empresa enfrenta. Como parte desse processo, a equipe deve revisar qualquer incidente passado que a empresa possa ter sofrido, bem como as ferramentas, políticas e procedimentos existentes no negócio que podem ajudar a prevenir ataques futuros.

A partir daí, a organização deve desenvolver um programa de treinamento personalizado, bem como ferramentas complementares, como questionários e simulações, a fim de ajudar os funcionários a fortalecer sua conscientização sobre segurança, adotar práticas recomendadas e cumprir as políticas da empresa.

O que os materiais educacionais devem abranger

Embora a situação de cada organização seja única e a maioria exija um programa de treinamento personalizado, o currículo de phishing deve abranger pelo menos os seguintes tópicos:

• O padrão típico do ataque de phishing
• Técnicas usadas com frequência por ciber criminosos
• Características típicas de mensagens de phishing
• A intenção do invasor e os resultados típicos de um evento bem-sucedido
• O que não fazer ao suspeitar que um e-mail recebido faz parte de uma campanha de phishing
• Como reportar adequadamente campanhas de phishing para a equipe de TI e as autoridades competentes

Usando exemplos do mundo real para melhorar os resultados

Com programas adequados de treinamento e conscientização, a maioria dos ataques básicos de phishing pode ser evitada. Como parte do curso de treinamento, é útil usar uma série de e-mails de phishing conhecidos, como o incluído abaixo, para ajudar as pessoas a identificar características comuns desse tipo de golpe.

Lista de verificação do phishing

Pode ser um e-mail de phishing se o remetente:

• Solicita dados confidenciais
• Usa um domínio diferente
• Inclui links que não correspondem ao domínio referenciado
• Inclui anexos não solicitados
• Usa uma abordagem não personalizada
• Comete erros ortográficos e gramaticais
• Tenta causar pânico no destinatário

2. Atribuir testes após o treinamento de phishing

Após a conclusão do treinamento, é importante avaliar o conhecimento e a conscientização dos participantes sobre o tópico e a capacidade de identificar e-mails e mensagens de phishing.

A CrowdStrike desenvolveu um questionário de conscientização sobre phishing, que apresenta uma série de exemplos reais de phishing e pede aos funcionários que identifiquem mensagens arriscadas, bem como as medidas que devem ser tomadas caso recebam esse tipo de mensagem. Incorporar este questionário de conscientização sobre phishing ou um semelhante pode ajudar a equipe de TI a confirmar a eficácia de seus materiais de treinamento e identificar áreas onde podem precisar de mais instruções.

3. Implementar simulações de campanhas de phishing

Todo programa de treinamento também deve incluir testes simulados de phishing regulares e não anunciados para reforçar o currículo, identificar pontos fracos persistentes e manter a cibersegurança como prioridade para as pessoas.

Esses testes podem vir na forma de e-mails, mensagens SMS ou de voz enviados e monitorados pela equipe de TI. Indivíduos que clicam em um link, baixam um arquivo ou respondem a uma mensagem podem ser redirecionados para os recursos de treinamento relevantes a fim de ajudá-los a melhorar sua conscientização e habilidades em cibersegurança. A equipe também pode usar os resultados desses exercícios para refinar os materiais de treinamento ou criar cursos personalizados sobre tópicos importantes.

4. Ensine o funcionário a reportar os ataques de phishing

Todo programa de treinamento de conscientização sobre phishing também deve ensinar às pessoas as etapas que elas devem seguir para gerenciar com segurança e-mails suspeitos de phishing. Isso inclui:

• Não abrir, responder ou interagir com e-mails suspeitos
• Reportar imediatamente o evento suspeito de phishing à equipe de TI
• Informar todos os colegas de trabalho para que fiquem atentos a mensagens semelhantes

5. Avalie os resultados e teste com frequência

Como o phishing é uma ameaça persistente e em evolução, as organizações devem realizar cursos de atualização regulares, bem como programas personalizados para ensinar as pessoas sobre novas campanhas, técnicas e características de phishing.

A equipe de TI também deve realizar testes e simulações regulares para garantir que os funcionários permaneçam vigilantes na luta contra phishing. Os resultados desses testes podem ser usados para refinar o programa de treinamento e fornecer instruções intensivas para indivíduos ou equipes que podem estar sob maior risco de comprometimento.

Fornecer recursos de phishing prontamente disponíveis

Também pode ser útil e reconfortante informar às pessoas quais medidas adicionais a equipe de TI está tomando para limitar os riscos de phishing e outros ciber ataques. Isso pode incluir uma ampla variedade de ferramentas de segurança, serviços, políticas e procedimentos projetados para limitar sua exposição a ataques de phishing. Exemplos:

• Software antivírus que pode prevenir, detectar e remover malware inseridos no sistema por meio de phishing.
• Filtros antispam que usam listas de bloqueio predefinidas, criadas por pesquisadores de segurança especializados, a fim de mover automaticamente e-mails de phishing para a pasta de lixo eletrônico do usuário.
• Atualizações regulares do navegador e do software para fornecer defesas mais fortes contra golpes de phishing, à medida que novos ataques são lançados.
• Autenticação multifatorial (MFA), que requer um segundo nível de verificação, como um código de acesso enviado ao telefone, antes de acessar uma conta privada.