Mesmo que o título soe curioso é uma excelente estratégia enviar phishings aos funcionários, mas, antes de falar sobre os benefícios que isso traz, quero destacar alguns pontos sobre os ataques de phishing que costumamos nos deparar na internet.
Nós já abordamos esse tema de ameaças de diversas formas, caso queira se instruir ainda mais sobre isso veja um dos nossos outros artigos.
Os phishings são ataques de engenharia social que tem o intuito de conduzir a vítima a realizar algum procedimento que beneficie os criminosos com informações, bens ou quantias em dinheiro.
Para que os phishings que você enviar a seus funcionários sejam tão efetivos quanto possível é interessante entender como os criminosos costumam desenhar a estrutura desses ataques. Os ataques mais comuns costumam seguir uma mesma estrutura de três etapas:
- Assunto que remeta a urgência – O assunto do e-mail é a única chance que os criminosos têm de prender a atenção de suas vítimas, por isso sempre compões essa parte do e-mail o mais impactante possível. Dos assuntos mais abordados estão “Regularize sua dívida para não ir para o SPC”, “Passagem aérea para um lugar incrível com 80% de desconto”, “Você recebeu um PIX de X mil reais, siga os passos para liberá-lo”, e por aí vai. Como é fácil perceber, os temas costumam envolver dinheiro, já que essa é uma das principais preocupações da maioria das pessoas. No assunto também costuma haver um apelo psicológico, a ganâncias das pessoas em conseguir algo muito mais barato que o normal, ou a sensação de desconforto que a possibilidade de estar inadimplente pode causar. Seja qual for o tema, o assunto sempre será urgente, para que a vítima abra logo o e-mail e siga os procedimentos sugeridos.
- Procedimentos no corpo do e-mail – O corpo do e-mail continua seguindo a lógica de raciocínio presente no assunto, porem ela se desenvolve para uma espécie de tutorial. É no corpo do e-mail que os criminosos dizem exatamente o que a vítima tem que fazer, sempre reforçando a sensação de urgência. A urgência se deve principalmente ao fato de que estas campanhas não duram muito tempo no ar, visto que os provedores de serviço de hospedagem de páginas se preocupam em derrubar o quanto antes os sites fraudulentos. Então após reforçar a necessidade de urgência o e-mail costuma solicitar que a vítima acesse um link ou baixe um arquivo para seu dispositivo.
- Uma página de cadastro/um arquivo para download – Caso o Phishing contenha uma página web que a vítima deverá acessar, a página obviamente estará em poder dos criminosos e pode ter diversos conteúdos diferentes. Os mais comuns são páginas contendo formulários de cadastro, para que a vítima forneça seus dados, ou um arquivo malicioso para download. Em alguns casos o arquivo para download pode estar presente diretamente no e-mail, no entanto esta prática não é tão comum pois os servidores de e-mail costumam ter proteções contra arquivos maliciosos e o ataque de Phishing seria barrado antes mesmo de chegar à vítima.
A página de cadastro costuma permitir que os criminosos acessem a conta da vítima futuramente, utilizando-a como quiserem, e o arquivo malicioso baixado pode permitir que criminosos saibam e controlem tudo o que acontece no dispositivo.
Certo, agora que resumi como funcionam os ataques de phishing resta saber qual a utilidade de enviar phishings aos funcionários, e a utilidade costuma ser a mesma de realizar um pentest, ou um exercício de Red team, saber até onde aquele ataque pode chegar e trabalhar nos pontos encontrados durante o processo.
Os testes de phishing são interessantes para medir se os conteúdos de campanhas de conscientização foram corretamente assimilados e postos em prática ou para se ter uma ideia de quais assuntos deverão ser abordados em campanhas futuras. Estes exercícios costumam trazer ao menos três métricas muito valiosas para os responsáveis para a segurança do ambiente, mesmo que os funcionários acabem caindo no teste.
Para tornar o texto mais dinâmico apresentarei as métricas resultantes da campanha e as sugestões de abordagem caso o desempenho dos funcionários tenha sido preocupante.
#Quantas pessoas abriram o phishing – Essa é a menos preocupante das métricas pois dependendo do cliente de correio utilizado pelo funcionário não é possível ver que se trata de um phishing logo que ele chega. Ela apenas diz aos administradores que o e-mail foi aberto e que o conteúdo foi analisado, ainda assim demonstra um comportamento potencialmente perigoso. Dependendo do tema usado na campanha estes e-mails idealmente não deveriam atrair a atenção dos funcionários em ambientes corporativos.
Caso muitos deles tenham aberto o e-mail é interessante prover informações sobre quais conteúdos são recomendados para se acessar em ambiente corporativo.
#Quantas pessoas clicaram no link do phishing – Esse estágio já é muito preocupante e representa que o funcionário efetivamente caiu no phishing e seguiu as instruções. Em um phishing real neste estágio o criminoso já poderia ter acesso ao computador da vítima caso conseguisse explorar alguma vulnerabilidade através do acesso à página via browser. Caso muitas pessoas tenham clicado no link é interessante veicular informações sobre como reconhecer phishings, como criminosos costumam abordar as vítimas, a importância de não clicar em links suspeitos recebidos passivamente e claro, como reportar em caso de suspeita de ataque.
#Quantas pessoas preencheram dados na página falsa – Este é claramente o pior cenário para um ambiente, além de representar que o funcionário caiu no phishing demonstra que ele enviou informações, sejam elas quais forem, para um formulário malicioso sem nem desconfiar que se tratava de um golpe! Caso haja funcionários que tenham preenchido o formulário falso será necessário realizar atividades de conscientização mais específicas, preferencialmente seguidas de avaliações de conhecimento em forma de provas ou perguntas feitas após uma eventual apresentação/palestra. A presença destes resultados também implica na necessidade de reciclagem periódica das informações referentes a essas conscientizações.
É uma estratégia muito eficiente realizar testes de phishing periodicamente, algumas empresas optam por realizá-los somente após um treinamento ou capacitação em segurança, eu particularmente gosto de uma abordagem mais abrangente, realizar um teste antes, aplicar o treinamento/capacitação, e realizar o teste depois. Isso permite entender com mais clareza se houve melhora dentro do ambiente.
Muitas empresas fornecem este serviço de forma muito eficiente, mas também é possível realizar os testes por conta própria, seja com analises manuais de logs de e-mail, o que gera um trabalho absurdo, ou através de frameworks como o Gophish por exemplo, que facilitam muito a vida e já tem uma série de recursos e praticidades embutidas em sua estrutura.
O ponto crucial é não deixar de testar o ambiente e seus funcionários de todas as maneiras possíveis, caso o teste não seja feito pela própria empresa certamente será feito pelos criminosos. E o custo pode ser infinitamente maior.
Caso tenha ficado com alguma dúvida ou tenha sugestões de temas relacionados à segurança da informação que gostaria que abordássemos nas próximas publicações, conte-nos nos comentários.