Pesquisadoras do National Institute of Standards and Technology (NIST) desenvolveram um novo método que pode ser usado para avaliar com precisão por que os funcionários clicam em determinados e-mails de phishing. A ferramenta, chamada de Phish Scale, usa dados reais para avaliar a complexidade e a qualidade dos ataques de phishing com o intuito de ajudar as organizações a entender quais são as suas vulnerabilidades (humanas).
Veja também: Campanhas de phishing continuam apresentando crescimento no Brasil
Em sua forma mais simples, o phishing é um e-mail não solicitado, ou qualquer outra forma de comunicação eletrônica, na qual os cibercriminosos se apresentam como uma organização confiável para enganar os usuários e, assim, tentar roubar seus dados. As informações roubadas, como as credenciais para acessar uma conta ou serviço, podem ser usadas por cibercriminosos para realizar mais ataques ou para serem vendidas na dark web com o intuito de cometer fraude ou roubo de identidade.
Portanto, qualquer empresa ou organização que leve a sério a segurança de seus ativos deve realizar regularmente treinamentos sobre phishing para verificar se seus funcionários conseguem fazer a distinção entre e-mails legítimos e phishing. Esses treinamentos visam aumentar a atenção e vigilância dos funcionários e ensiná-los a detectar aqueles elementos que permitem identificar ataques de phishing disfarçados de e-mails legítimos, o que ajuda a evitar que caiam na armadilha e ao mesmo tempo protege as organizações de qualquer prejuízo, seja financeiro ou de reputação.
Esses exercícios são normalmente supervisionados pelos CISOs (chief information security officer) da organização, que avaliam o sucesso ou o fracasso das atividades com base nas taxas de cliques; ou seja, com que frequência os funcionários clicam em um e-mail de phishing. No entanto, esses resultados não explicam totalmente o problema.
Veja também: Google lança teste didático para que usuários aprendam a identificar golpes de phishing
"O objetivo do Phish Scale é proporcionar uma compreensão mais detalhada sobre se um determinado e-mail de phishing é mais difícil ou mais fácil de detectar para um determinado público-alvo", explicou a pesquisadora do NIST, Michelle Steves, no comunicado de imprensa que divulga a nova ferramenta.
O Phish Scale analisa dois elementos principais ao avaliar como é difícil detectar um potencial e-mail de phishing. A primeira variável avaliada pela ferramenta são os “sinais de um e-mail de phishing”; ou seja, sinais observáveis como erros de ortografia, uso de endereços de e-mail pessoais em vez de e-mails corporativos, entre outros.
Enquanto isso, a segunda variável leva em consideração o “alinhamento do contexto do e-mail com o usuário” e aproveita um sistema de classificação para avaliar se o contexto é relevante para o objetivo: quanto mais relevante, mais difícil se torna identificá-lo como um e-mail de phishing. Com base em uma combinação desses fatores, o Phishing Scale classifica a dificuldade de detecção do phishing em três categorias: mínima, moderada e muito difícil. Essas categorias podem fornecer informações valiosas sobre os próprios ataques de phishing, bem como ajudar a determinar por que as pessoas têm mais ou menos probabilidade de clicar nesses e-mails.
O Phish Scale visa fornecer aos CISOs um melhor entendimento dos dados que “saem” da taxa de cliques, para que não sejam baseados apenas no resultado numérico. “Uma baixa taxa de cliques para um determinado e-mail de phishing pode ter várias causas: os e-mails usados como parte do treinamento de phishing são muito fáceis de detectar ou não fornecem contexto relevante para o usuário, ou o e-mail de phishing é semelhante a um usado em um exercício anterior. Portanto, se a taxa de cliques for analisada por conta própria, sem entender a dificuldade do e-mail de phishing, a interpretação dos dados pode levar a uma falsa sensação de segurança”, destacou o NIST.
Confira vídeo produzido pelo NIST sobre a ferramenta:
Embora todos os dados usados para alimentar a ferramenta Phish Scale sejam do NIST, o instituto espera testar a ferramenta em outras organizações e empresas para avaliar seu desempenho. Após realizar melhorias na ferramenta, o NIST deve tirar o Phish Scale do ambiente de pesquisa e disponibilizá-lo para uso das empresas.
Para saber mais sobre a ferramenta e a pesquisa por trás dela, leia o artigo (em inglês) Categorizing human phishing difficulty: a Phish Scale, publicado pelas pesquisadoras Michelle Steves, Kristen Greene e Mary Theofanos.