Estudos recentes apontam que 8 em cada 10 empresas brasileiras tiveram, ao menos, uma experi\u00eancia de ataque de phishing por e-mail bem sucedido em 2022, e 23% sofreram perdas financeiras como resultado.
\nTenho visto que muitas empresas investem muitos recursos em tecnologia mas muito pouco na conscientiza\u00e7\u00e3o de seus usu\u00e1rios.<\/p>\n
A palavra \u201cphishing\u201d vem do ingl\u00eas e foi escolhida por causa da sua semelhan\u00e7a com o termo \u201cfishing\u201d que significa pescar, em portugu\u00eas. Portanto, o phishing \u00e9 a pr\u00e1tica de \u201cpescar\u201d dados e informa\u00e7\u00f5es pessoais ou confidenciais utilizando a internet.<\/p>\n
O phishing \u00e9 muito utilizado para roubar documentos, n\u00fameros e senhas de cart\u00f5es, acessos a contas banc\u00e1rias, telefones, acessar computadores e telefones, entre outros.<\/p>\n
Assim, como o nome sugere, os bandidos utilizam de \u201ciscas\u201d para enganar as pessoas e conseguir as informa\u00e7\u00f5es que desejam. Esta pr\u00e1tica \u00e9 ilegal no Brasil, sendo enquadrada dentro da Lei dos Crimes Cibern\u00e9ticos.<\/p>\n
O phishing pode ser prevenido, inclusive dentro das empresas. \u00c9 fundamental que as institui\u00e7\u00f5es eduquem seus colaboradores quanto ao uso correto e seguro da internet. A maioria dos casos ocorre por desconhecimento do usu\u00e1rio que acaba se tornando uma v\u00edtima do golpe.
\nO processo de Teste e Simula\u00e7\u00e3o de Phishing \u00e9 feito internamente ou por uma consultoria que tem ferramentas apropriadas para avaliar a maturidade dos usu\u00e1rios da empresa.<\/p>\n
S\u00e3o realizadas campanhas de simula\u00e7\u00e3o e se coletam estat\u00edsticas da intera\u00e7\u00e3o dos usu\u00e1rios com os conte\u00fados enviados. \u00c9 uma proposta essencial para qualquer projeto de cyberseguran\u00e7a bem-sucedido e pode ser acompanhado de campanhas de conscientiza\u00e7\u00e3o e treinamentos.<\/p>\n
Realizar testes de phishing em uma organiza\u00e7\u00e3o oferece v\u00e1rias vantagens significativas em termos de conscientiza\u00e7\u00e3o, treinamento e fortalecimento da postura de seguran\u00e7a. Aqui est\u00e3o algumas das principais vantagens de realizar testes de phishing:<\/p>\n
Em resumo, os testes de phishing desempenham um papel crucial na melhoria da conscientiza\u00e7\u00e3o dos funcion\u00e1rios, treinamento em seguran\u00e7a e fortalecimento das defesas de uma organiza\u00e7\u00e3o contra ataques de phishing. Ao identificar e mitigar as vulnerabilidades, a organiza\u00e7\u00e3o pode fortalecer sua postura de seguran\u00e7a cibern\u00e9tica e reduzir os riscos de viola\u00e7\u00f5es e incidentes de seguran\u00e7a.<\/p>\n
Ataques de phishing pode ser prevenido, inclusive dentro das empresas. \u00c9 fundamental que as institui\u00e7\u00f5es eduquem seus colaboradores quanto ao uso correto e seguro da internet. A maioria dos casos ocorre por desconhecimento do usu\u00e1rio que acaba se tornando uma v\u00edtima do golpe.<\/p>\n
Seguindo a estrutura do MITRE ATT&CK\u00ae, algumas t\u00e9cnicas de Engenharia Social podem ser usadas no teste, por exemplo:<\/p>\n
CAPTURA DE CREDENCIAIS:<\/strong>\u00a0tenta coletar credenciais levando os usu\u00e1rios a um site de apar\u00eancia bem conhecida com formul\u00e1rios para coletar um nome de usu\u00e1rio e uma senha.<\/p>\n ANEXAR MALWARE:<\/strong>\u00a0adiciona um anexo mal-intencionado a uma mensagem. Quando o usu\u00e1rio abre o anexo, o c\u00f3digo arbitr\u00e1rio \u00e9 executado que ajuda o invasor a comprometer o dispositivo do destino.<\/p>\n LINK NO ANEXO<\/strong>: um tipo h\u00edbrido de captura de credencial. Se insere uma URL em um anexo de email. A URL dentro do anexo segue a mesma t\u00e9cnica que a captura de credencial.<\/p>\n LINK PARA MALWARE:<\/strong>\u00a0executa algum c\u00f3digo arbitr\u00e1rio de um arquivo hospedado em um servi\u00e7o de compartilhamento de arquivos bem conhecido. A mensagem enviada ao usu\u00e1rio cont\u00e9m um link para este arquivo mal-intencionado. Abrir o arquivo ajuda o invasor a comprometer o dispositivo do destino.<\/p>\n URL DRIVE-BY<\/strong>: a URL mal-intencionada na mensagem leva o usu\u00e1rio a um site de apar\u00eancia familiar que executa silenciosamente e\/ou instala o c\u00f3digo no dispositivo do usu\u00e1rio.<\/p>\n