Quando se trata de proteger a sua organização de ameaças modernas de cibersegurança, a educação é sempre a primeira linha de defesa. Entretanto, seminários tradicionais de cibersegurança e e-mails educacionais distribuídos em massa muitas vezes não conseguem comunicar sua mensagem aos funcionários, de maneira eficaz. Considere realizar treinamentos no formato de uma simulação e leve a experiência de treinamento a um nível mais cativante.
Mesmo que as suas defesas de software sejam robustas, elas não conseguem impedir que um invasor empenhado explore a psicologia humana para obter acesso não autorizado. Sabendo disso, as empresas mais experientes vêm tomando medidas proativas para preparar os funcionários no enfrentamento de técnicas de engenharia social. Um dos métodos que podem utilizar é a realização de um exercício de simulação.
Um dos métodos que podem utilizar é a realização de um exercício de simulação. Desta vez, vamos dar uma olhada em um teste, em tempo real, que demonstra o preparo necessário para a sua equipe enfrentar ataques de phishing de voz.
O que é "vishing"? Vishing, aglutinação de "voice phishing", é uma técnica engenhosa em que um invasor manipula indivíduos para divulgarem informações confidenciais ou transferirem dinheiro por meio de uma chamada telefônica. Ao contrário do phishing tradicional, baseado em e-mail, o vishing explora o imediatismo e a natureza pessoal da comunicação de voz. |
Os resultados de um exemplo real
A resistência ao vishing foi testada com funcionários de uma empresa tecnológica, que permanecerá anônima.
Durante o teste, os funcionários encontraram um invasor assumindo três funções distintas:
- Suporte ao departamento financeiro: nesse caso, o invasor se passou por um agente de suporte ao departamento financeiro, insistindo na confirmação dos dados pessoais enviados por e-mail. Para acessar o arquivo supostamente crítico, eram necessárias credenciais de login;
- Auditor externo: o invasor se disfarçou como representante de uma falsa empresa de auditoria, solicitando aos administradores que preenchessem um formulário on-line. No entanto, o acesso ao formulário dependia do fornecimento das suas credenciais;
- Colega afastado: no terceiro cenário, o agressor se passou por um colega de trabalho sem acesso ao computador, buscando atendimento urgente. A resolução do problema envolveu o login em um aplicativo externo.
Notavelmente, as pessoas que participaram desse teste mantiveram sua posição e impediram que o invasor avançasse em suas tentativas. Ninguém se tornou vítima de ataques de vishing, reiterando a importância da educação contínua acerca da cibersegurança, visto que se tratavam de funcionários de uma empresa com um programa robusto de sensibilização sobre cibersegurança, incluindo treinamentos regulares e diversificados.
Ao se depararem com uma situação potencialmente questionável, souberam lembrar e aplicar, com maestria, os princípios preventivos que haviam estudado anteriormente, protegendo a empresa de possíveis ramificações de um ataque de engenharia social.
Práticas anti-vishing: o que fazer para não se tornar vítima?
1. Esteja ciente dos perigos em potencial
Mantenha-se vigilante sempre que receber uma ligação de uma suposta "autoridade", como bancos, instituições governamentais ou suporte técnico. Ainda que a autoridade possa realmente ser quem afirma ser, vale manter em mente os riscos envolvidos e adotar uma postura de precaução.
2. Valide a identidade de quem está ligando
Os funcionários que participaram da simulação acima fizeram esforços para validar a identidade da pessoa do outro lado da linha – e sugerimos que você tome as mesmas medidas. Ao receber uma chama suspeita, solicite o nome completo, detalhes de contato e informações da organização. Não hesite em comparar esses dados com fontes oficiais, como buscar o site oficial da empresa ou comunicações anteriores.
3. Faça perguntas desafiadoras
Confunda os possíveis invasores fazendo perguntas que não conseguem responder prontamente. Dependendo do contexto, pergunte sobre interações anteriores, supervisores ou conhecidos em comum. Mergulhar mais fundo na conversa pode expor inconsistências e revelar sua verdadeira natureza.
4. Suspeite de solicitações urgentes
Agentes de vishing costumam adotar um tom de urgência e buscam controlar a ação de seus alvos. Tenha atenção e examine qualquer solicitação que instigue ações apressadas. Não se deixe levar a tomar decisões precipitadas.
5. Verifique detalhes e entre em contato
Se estiver em dúvida, encerre a chamada imediatamente e contate, por conta própria, representantes oficiais da instituição. É de extrema relevância relatar chamadas suspeitas, uma vez que isso contribui aos esforços de cibersegurança coletivos.
6. Informe-se e fomente a sensibilização sobre cibersegurança
Compartilhe essas informações dentro da sua organização. Qualquer pessoa pode ser alvo de um ataque de vishing. Crie uma cultura de sensibilização sobre cibersegurança e ajude a incutir a importância de uma postura cética nesses casos.
6 passos para um teste de simulação de vishing bem-sucedido
Ao realizar simulações de vishing, sua equipe é efetivamente capacitada para identificar e resistir a ameaças de vishing. O objetivo não é apontar dedos ou punir ninguém, caso incidentes ocorram, e sim melhorar seu conhecimento de cibersegurança e ataques. Encare cada simulação como uma oportunidade de preparar seus colegas para confrontarem, com segurança, e se livrarem dos perigos de táticas de engenharia social.
Passo 1: Defina os objetivos e o escopo
Comece estabelecendo objetivos claros para a simulação de vishing. Decida se o que você busca é avaliar a resposta dos funcionários a ligações suspeitas ou testar a efetividade do programa de treinamento em cibersegurança da sua organização. Delimite o escopo da simulação, incluindo os departamentos, funcionários ou cargos específicos que deseja alcançar.
Passo 2: Solicite a aprovação da gerência
Explique o propósito, os benefícios e possíveis resultados do exercício de vishing aos responsáveis pela gestão da empresa. Aborde suas preocupações e destaque de que maneira essa abordagem proativa pode ajudar a identificar vulnerabilidades e reduzir o risco de que falhas de seguranças ocorram na prática.
Passo 3: Desenvolva os cenários
Crie cenários de vishing realistas, que imitem ameaças potenciais, com os quais seus funcionários podem se deparar. Considere casos envolvendo agentes que se passam por técnicos de suporte de TI, prestadores de serviços ou até mesmo pessoal interno em busca de informações confidenciais. Desenvolva um roteiro convincente e plausível, garantindo que contenha sinais de alerta típicos de tentativas de vishing, como urgência, intimidação e solicitações de dados confidenciais.
Passo 4: Informe e treine os funcionários
Antes de testar seus funcionários, lembre-os da importância de conhecerem os riscos de cibersegurança e os incentive a seguir os protocolos estabelecidos ao lidar com ligações suspeitas. Realize sessões de treinamento de reciclagem caso necessário.
Passo 5: Avalie os resultados
Após a simulação, colete e analise os dados. Identifique tendências, padrões e áreas de melhoria. Organize uma sessão de orientação com os participantes para discutir o objetivo da simulação, os resultados e lições aprendidas. Forneça feedback construtivo e use exemplos reais para ressaltar a importância de detectar um ataque de vishing.
Passo 6: Realize aprimoramentos constantes
Implemente as informações obtidas com a simulação de vishing para refinar os programas, políticas e procedimentos de cibersegurança da sua empresa. Considere a realização de simulações regulares para manter seus funcionários sempre em dia, com adaptabilidade a ameaças em ascensão.
Tudo pronto para testar as defesas da sua equipe? Com o preparo certo, uma simulação de vishing pode fortalecer a postura de cibersegurança da sua empresa.