Spear Phishing

Se você está lendo isto, provavelmente acabou de se inscrever (ou está interessado em) uma campanha de phishing conosco! Estamos prestes a começar a criar um modelo de e-mail e uma página de destino, feitos sob medida para tentar enganar sua equipe a nos fornecer suas credenciais. Mas antes disso, há algumas preparações a serem feitas.

Incluir nossa campanha de phishing na lista de permissões

Por que incluir na lista de permissões?

Em um ataque de phishing real, é claro que você não incluiria a campanha do atacante na lista de permissões! Então, por que fazer isso para a nossa? Lembre-se, o objetivo de realizar uma campanha de phishing simulada é testar a conscientização de segurança de seus funcionários; não testar a eficácia do seu gateway de e-mail.

Incluir na lista de permissões com Microsoft 365

O Microsoft 365 permite simulações de phishing de terceiros. Aqui está o que você precisa fazer:

1. Faça login em https://security.microsoft.com/ com uma conta que tenha permissões suficientes (como um Administrador Global).

2. No menu à esquerda, selecione Email & Colaboração > Políticas & Regras > Políticas de Ameaça.

3. Na nova página, em Regras, selecione Entrega Avançada.

4. Escolha a página de simulação de phishing e clique em Editar.

5. Adicione o domínio da campanha, E os IPs de envio, conforme abaixo.

Domínio: O domínio de phishing será fornecido a você pelo consultor.

Pré-lançamento: Testando a campanha

Com a sua ajuda, vamos testar a campanha de ponta a ponta duas vezes:

1. Uma vez logo após termos criado e configurado;

2. Logo antes de ela entrar no ar.

Enviaremos um e-mail e pediremos que você complete todo o processo, inserindo credenciais falsas (ou reais; sua escolha).

Se houver problemas, poderemos precisar atrasar o lançamento da campanha.

Durante a campanha

Observe como sua equipe reage à campanha e anote algumas de suas reações. Elas podem ser divertidas para discutir posteriormente. Se desejar, você também pode nos informar! Adoramos ouvir os resultados (leia-se caos) do nosso trabalho.

Pós-campanha

Após cerca de 24 horas, a maioria das pessoas terá tido a chance de interagir com a campanha de alguma forma. O boca a boca se espalha rapidamente e seus funcionários mais alertas provavelmente já informaram outros sobre o ataque de phishing (o que é bom). Hora de encerrar.

Com os testes finalizados, é importante remover a lista de permissões que você adicionou anteriormente.

Debriefing interno

Engenharia social é um tópico sensível. Enquanto os computadores não se importam em serem hackeados, as pessoas podem ter uma reação negativa ao cair em uma campanha de phishing. É vital que você reforce a todos que se sintam mal e mostre a campanha de forma positiva, agradecendo às pessoas por participarem na melhoria da segurança da empresa.

Em nossa experiência, envergonhar ou repreender pessoas que caíram no phishing piora sua segurança cibernética. Isso impede que as pessoas relatem incidentes e causa uma visão negativa sobre o treinamento de segurança cibernética. Não queremos trabalhar com empresas que abusam de nossos serviços dessa maneira e nos recusaremos a realizar exercícios de phishing adicionais se encontrarmos qualquer abuso.

Uma discussão aberta com todos os funcionários sobre a campanha pode ser extremamente benéfica. Pergunte (com antecedência) se as pessoas que foram phished querem compartilhar seu processo de pensamento sobre por que funcionou com elas. Da mesma forma, peça àqueles que perceberam a fraude para explicar o que os fez desconfiar.

Por fim, peça às pessoas que foram afetadas pelo pishing para mudar suas senhas.