Dilema: Você deve enviar simulações de phishing durante a pandemia da COVID-19?

Por Perry Carpenter, Chief Evangelist and Strategy da KnowBe4. 

Não há dúvida, estes são tempos desafiadores. Colaboradores e organizações de todo o mundo estão fazendo o possível para manter todos em segurança e estabelecer uma nova rotina para realizar o trabalho em casa. As tensões são altas; e o medo e a incerteza são consideráveis. Ninguém quer adicionar mais estresse a uma situação já inquietante.

Nos últimos dias, vi algumas postagens nas redes sociais e conversei com pessoas que acreditam que as organizações não devem fazer simulações de phishing com os usuários durante esse período. Eles acham que a melhor maneira de praticar o “treinamento de conscientização socialmente responsável” é fornecer um material simples baseado em informações e abster-se de realizar testes. Pensamentos como esse podem ser bem-intencionados; mas acredito que eles estão errados. Aqui está o porquê:

Os atacantes estão desenvolvendo novos golpes! Este gráfico mostra o crescimento exponencial dos novos modelos de phishing utilizando a temática da COVID-19:

Portanto, é extremamente importante manter nossos colaboradores atentos. De fato, como os atacantes estão em um frenesi de alimentação com a COVID-19, serei ousado o suficiente para dizer que a não realização de um treinamento de phishing durante esse período equivale a negligência. Os atacantes se aproveitam do estresse, da distração, da urgência, da curiosidade e do medo. E eles estão direcionando toda a força contra seus colaboradores e sua organização.

Assim, eu entendo perfeitamente de onde as pessoas vêm quando se sentem hesitantes em testar usuários contra o phishing durante esse período. As organizações não querem adicionar estresse adicional ao seu pessoal. Eles têm medo de fazer com que os colaboradores se sintam confusos ou alienados. Totalmente compreensível… e totalmente contornável. Os principais fatores: tom e processo.

Tom

Vou abordar o tom primeiro, porque acredito que é a peça mais importante para fazer isso direito. Já descrevi a importância crítica do tom nos seminários on-line, nas sessões da conferência e em meu livro. Mas, como o tom é muito mais fácil de sentir do que descrever, usarei um exemplo de vídeo.

Isso é de um projeto de conscientização da COVID-19 que iniciei especificamente para ajudar os líderes de conscientização em segurança a realizar testes críticos de phishing de uma maneira que pareça cuidadosa e sensível. Dê uma olhada e espero que entenda o que quero dizer. Esta é uma mensagem pré-campanha para os clientes enviarem aos colaboradores:

Existem alguns aspectos importantes que ecoam por todos os vídeos desta série. Em essência, eles se resumem a:

  • Planeje com compaixão e visão dos fatos: as coisas são novas e diferentes. Entendemos.
  • Explique a situação: A COVID-19 abre novos trabalhos contra riscos domésticos e os atacantes estão se beneficiando disso.
  • Descreva nossa responsabilidade: Como resultado, todos precisamos estar mais vigilantes.
  • Diga o que estamos fazendo: Uma das maneiras planejadas para garantir a segurança é enviar simulações de phishing.
  • Descreva o resultado pretendido: A intenção não é enganar alguém, envergonhar alguém, etc. É para nos ajudar a construir reflexos seguros.
  • Forneça conselhos e orientações: Os atacantes confiam na distração, no estresse e no pânico. Portanto, sempre que vir algo relacionado a COVID-19 em sua caixa de entrada, sempre avalie-o com um senso de ceticismo. Denuncie se suspeita de phishing.
  • Termine a comunicação com um senso de comunidade : “Mantenha a calma e não clique. Estamos juntos nessa.”

Processo

O outro fator chave para se pensar é o processo. Para construir um ‘novo normal’, você deve enviar uma mensagem aos colaboradores informando que os atacantes estão lucrando com a COVID-19. E, por causa disso, você ajudará a preparar a equipe para o que está por vir.

Em essência, o processo deve ser o seguinte:

  • Avise toda a equipe sobre os golpes. Forneça informações oportunas sobre como os atacantes estão aproveitando esse momento estressante para obter vantagens.
  • Avise que você ajudará a prepará-los enviando simulações de phishing, incluindo também a temática da COVID-19. Se você é um cliente KnowBe4, pode usar o vídeo pré-campanha da série que descrevi acima. Caso contrário, você pode criar sua própria mensagem com base na fórmula que descrevi. Lembre-se: o tom é a chave!
  • Envie simulações de phishing para os colaboradores, assim todos aumentarão a vigilância.
  • Considere usar landing pages com vídeos explicando como os atacantes estão usando a COVID-19 para lucrar a partir dessa situação. Isso precisa ser encorajador para garantir que todos estejam reproduzindo comportamentos seguros. Se você é um cliente KnowBe4, pode usar o vídeo pós-clique da série que descrevi acima. Caso contrário, você pode criar sua própria mensagem com base na fórmula descrita. Uma mensagem importante aqui é algo como: ” Ops, você clicou em uma simulação de phishing… Não se preocupe, este não era um ataque real. Você está seguro e nossa organização está segura. Mas cuidado, os atacantes estão usando todas as notícias, pânico e sensibilidade da COVID-19 como uma maneira de induzir as pessoas a clicar em links maliciosos, abrir anexos maliciosos, acidentalmente fornecer informações de login/senha e muito mais. Você precisa ser cético em relação a qualquer e-mail que evoque emoções fortes (medo, urgência etc.)… especialmente se a mensagem estiver relacionado a COVID-19. “
  • Reforce a campanha com mensagens consistentes e encorajadoras (por exemplo, “Mantenha a calma e não clique. Estamos nisso juntos!” ).

Conclusão

Espero que nossa mensagem tenha sido útil para você. Quando engajar seus colaboradores com a mensagem e o tom certos, você perceberá que não há nada a temer; e todos sentirão orgulho em ajudar a proteger a organização. É tudo por agora. “Mantenha a calma e não clique. Estamos juntos nessa.”

Para os clientes KnowBe4, temos uma campanha completa pronta para você. Ele consiste em um vídeo para o Administrador da plataforma KnowBe4, um vídeo para anunciar a campanha aos seus colaboradores e um vídeo que fica na landing page logo após o clique na simulação de phishing sobre COVID. Se você tiver alguma dúvida sobre como configurar esta campanha, ligue para o seu CSM e ele irá ajudá-lo.

Referências no Vimeo:


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*