Estudo revela a fragilidade de uma cidade americana em incidentes com phishing.

A cidade americana de Kansas no estado do Missouri enviou phishings educativos para todos os funcionários da administração pública local, visando testar o quanto seu ambiente está vulnerável a ataques deste tipo. Os resultados demonstraram o elevado nível de fragilidade em que se encontram as organizações quando o assunto é o phishing.

O estudo, publicado neste mês seguiu a seguinte metodologia:

• Foi criado um site falso com campos para que os usuários digitassem suas credenciais de acesso (usuário e senha) e endereço de e-mail. Ao acessarem este site, automaticamente era instalado um malware que coletava informações da máquina.
• A administração pública criou um e-mail com o objetivo de enganar o usuário para que esse clicassem no link da mensagem que redirecionava o acesso para o site falso.
• Também fez parte do trabalho estabelecer um mecanismo automático para o monitoramento dos resultados.
• Por fim foi conduzida uma avaliação da estratégia de conscientização, política de segurança da informação e plano de resposta a incidentes, de modo a medir o quanto a administração pública está preparada para atuar em incidentes com phishing.

Durante o primeiro dia do teste, seiscentas pessoas acessaram o link do phishing, abrindo duzentas e oitenta possibilidades concretas de ataque em que o usuário além de clicar no link do phishing educativo e instalar o malware, forneceu suas credenciais de acesso e seu endereço de e-mail.

O teste envolveu funcionários de todos os departamentos da prefeitura e dentre os que foram enganados pelo phishing, estavam funcionários das mais variadas áreas, incluindo pessoas com acesso a sistemas críticos do município como de folha de pagamento, tributos e outras informações confidenciais da gestão da cidade.

Embora a cidade não possua políticas e planos de resposta a incidentes específicos para tratar de ataques de phishing, o estudo aponta que as áreas que fazem a gestão de tecnologia no município responderam ao incidente de maneira efetiva, contendo a propagação do ataque através da ativação controles de acesso e alertando os funcionários sobre o incidente.

O estudo rendeu duas recomendações importantes: em primeiro lugar formalizar políticas, procedimentos e planos de resposta a incidentes específicos sobre o tema. A segunda recomendação foi a de executar treinamentos e atividades de conscientização sobre phishing para todos os funcionários e prestadores de serviços da cidade.

Fonte: http://webfusion.kcmo.org/coldfusionapps/auditor/reports/Phishing.FINAL.pdf?CFID=508932&CFTOKEN=38967727