Quando se prepara uma campanha de phishing com objetivo educacional, existem duas opções de engenharias a serem seguidas: partir de um template pronto e enviar um e-mail padronizado ou customizar um e-mail do zero seguindo resultados de pesquisas no cliente e características da equipe para aumentar as chances de sucesso – e, por consequência, a eficiência da mensagem. Pensar como um atacante é um ponto fundamental em campanhas customizadas!
Ambas as estratégias são válidas e eficientes, mas em patamares diferentes. Na experiência do El Pescador, enquanto campanhas que aproveitam templates atingem taxas de sucesso, ou seja, de vítimas enganadas, entre 15% a 20%. Já campanhas customizadas fazem com que mais de 80% das pessoas que receberam o e-mail sejam fisgadas nas simulações.
“E quanto mais usuários fisgados, mais usuários treinados e conscientizados”, diz Rafael Silva, CEO do El Pescador. A explicação é a seguinte: após ser alvo da campanha educativa de phishing, os membros da equipe que clicaram onde não deviam passam por um treinamento para se protegerem e identificar ataques futuros. O problema é que talvez o restante tenha escapado apenas por desinteresse na mensagem, e não por estar preparado contra ameaças de phishing.
Um template é como jogar uma rede de pesca sem se preocupar com os hábitos dos peixes que se quer pegar. Se a espécie alvo não nada por ali, não adianta a rede ser finíssima. Para usar um exemplo concreto: uma campanha de phishing padronizada recorrente é o anúncio de promoções para viagens de turismo. Caso determinado funcionário seja um workaholic que não se interessa pelo tema, a tentativa foi em vão.
A customização, por outro lado, permite pescar com a isca certa no lugar certo. Tem dias que a lua não ajuda, mas na maioria dos casos o alvo vai ser fisgado. A importância de trabalhar dessa forma é que em casos reais de campanhas de phishing os atacantes vão fazer o dever de casa – principalmente se o objetivo for enganar alguém que tenha acesso a informações importantes.
É assim que agem os atacantes, e nós do El Pescador pensamos da mesma maneira. O processo de desenvolvimento de uma campanha customizada envolve investigar o grupo de alvos, determinar interesses e investir em engenharia social tanto para atraí-los com assuntos envolventes quanto para fazê-los acreditar que o e-mail que receberem vem de uma fonte legítima.
“Para deixar o usuário conscientizado e fazer com que ele identifique e não clique em tentativas de phishing, precisamos pô-los à prova do que acontece de verdade fora de um ambiente controlado”, comenta Cristiano Lincoln, CEO @ Tempest Security Intelligence.
Claro, uma campanha desenvolvida em cima de template pode ser um bom ponto de partida para ter uma ideia do quanto determinada equipe ou grupo de pessoas está preparada para lidar com ameaças do tipo. Para fazer uma avaliação real desse panorama, no entanto, customizar é essencial.
A melhor forma de evitar ataques de phishing é ensinar a sua equipe a não clicar em e-mails maliciosos. Proteja a sua empresa de ataques de phishing com El Pescador – a primeira plataforma de phishing educativo do Brasil. Nossas campanhas revelam dados importantes sobre o comportamento da sua equipe diante de uma mensagem fraudulenta. Solicite uma demonstração clicando aqui.
