A cidade americana de Kansas no estado do Missouri enviou phishings educativos para todos os funcionários da administração pública local, visando testar o quanto seu ambiente está vulnerável a ataques deste tipo. Os resultados demonstraram o elevado nível de fragilidade em que se encontram as organizações quando o assunto é o phishing.
O estudo, publicado neste mês seguiu a seguinte metodologia:
Durante o primeiro dia do teste, seiscentas pessoas acessaram o link do phishing, abrindo duzentas e oitenta possibilidades concretas de ataque em que o usuário além de clicar no link do phishing educativo e instalar o malware, forneceu suas credenciais de acesso e seu endereço de e-mail.
O teste envolveu funcionários de todos os departamentos da prefeitura e dentre os que foram enganados pelo phishing, estavam funcionários das mais variadas áreas, incluindo pessoas com acesso a sistemas críticos do município como de folha de pagamento, tributos e outras informações confidenciais da gestão da cidade.
Embora a cidade não possua políticas e planos de resposta a incidentes específicos para tratar de ataques de phishing, o estudo aponta que as áreas que fazem a gestão de tecnologia no município responderam ao incidente de maneira efetiva, contendo a propagação do ataque através da ativação controles de acesso e alertando os funcionários sobre o incidente.
O estudo rendeu duas recomendações importantes: em primeiro lugar formalizar políticas, procedimentos e planos de resposta a incidentes específicos sobre o tema. A segunda recomendação foi a de executar treinamentos e atividades de conscientização sobre phishing para todos os funcionários e prestadores de serviços da cidade.