Treinamento é a melhor tática de combate ao phishing

Estudo da Carnegie Mellon University defende que educar usuários é a alternativa mais eficaz para o problema.

Os ataques por meio do uso de phishing são hoje os mais comuns dentre as ameaças tecnológicas. Estes possuem diversos objetivos como roubo de identidade, roubo de dados de cartões de crédito, de dinheiro em conta bancária e até o uso do computador alvo para a disseminação de ataques a outros computadores.

O problema é de extrema seriedade e embora seja algo de natureza tecnológica, opera em uma das características mais elementares da humanidade: A da trapaça ou engano.

De acordo com estudo da Carnegie Mellon University a indústria de soluções em segurança tem tratado o problema do phishing basicamente de três maneiras: Por meio da eliminação silenciosa da ameaça,apresentando alertas ao usuário quando este tenta acessar uma página maliciosa e usando de técnicas de treinamento online e conscientização.

A eliminação silenciosa da ameaça consiste na instalação de softwares que estejam preparados para identificar phishings nas mensagens recebidas pelos usuários, ou nos links acessados por eles e impedir a contaminação de maneira transparente, sem depender da interação do usuário.

Conceitualmente este método poderia ser a solução do problema. Entretanto, para que um produto deste tipo funcione efetivamente é necessário que o fabricante do software detecte rapidamente a ameaça, coordene esforços para seu diagnóstico, codifique o mecanismo de bloqueio ou eliminação e disponibilize atualizações que precisam chegar o quanto antes nos computadores dos seus clientes. Muitos problemas podem ocorrer neste percurso e enquanto a solução não chega os criminosos podem estar gerando impactos financeiros diretos nas contas dos usuários ou das organizações em que estes atuam, sejam elas empresas privadas, instituições governamentais ou do terceiro setor. Ou seja, esta medida não é considerada pelos autores do estudo como cem por cento efetiva.

Problemática também é a abordagem de alertar o usuário. De acordo com os autores da pesquisa esta maneira de lidar com os phishings geralmente confunde as pessoas, pois dificilmente a mensagem é clara e específica. Esta abordagem também sofre de alguns dos males da eliminação silenciosa da ameaça, pois o mecanismo de alerta precisa “entender” aquele comportamento como um provável phishing e para isso depende de atualizações que não ocorrem na mesma velocidade em que são disseminadas as ameaças.

Outro problema presente tanto nos alertas quanto na eliminação silenciosa da ameaça é que estas abordagens são passiveis de falhas em ataques direcionados. Ou seja, em casos nos quais o atacante desenvolve ou customiza um phishing para contaminar uma organização específica. Este tipo de ataque vem se tornando muito comum, sobretudo em casos de quadrilhas que visam roubar dados de cartão em empresas do varejo. Neste cenário, por não haver disseminação global do código malicioso, a capacidade de reação dos fabricantes de software de segurança se torna prejudicada.

As duas abordagens mencionadas anteriormente não devem ser totalmente descartadas, mas precisam ser consideradas como soluções complementares ao combate de phishing nas organizações.

Considerando que esta ameaça possui foco na interação humana com a tecnologia, os autores do estudo recomendam que as organizações dediquem recursos na promoção de treinamentos online para seus usuários, simulando a contaminação por phishings. Durante a pesquisa da Carnegie Mellon foram realizados experimentos com diversas pessoas e estes demonstraram que o treinamento é a abordagem mais eficaz para o tratamento do problema.

Os experimentos ainda demonstraram três maneiras para melhorar ainda mais o aproveitamento das sessões de treinamento online:

  • Fazer a intervenção imediatamente ao usuário clicar no link do phishing educativo.
  • Explicar de maneira clara os motivos pelos quais o usuário não está acessando o site que esperava.
  • Evitar o uso de alertas genéricos sobre os riscos de phishing e manter uma linguagem visual específica para a organização de modo que o usuário se identifique com a mensagem.

Todos estes componentes podem ser encontrados na solução El Pescador que envia phishing educativos para os usuários de seus clientes. Ao clicarem no link da mensagem, os usuários são levados para uma plataforma de treinamento online por meio da qual passarão a entender todas as implicações que um único clique pode trazer para a organização em que trabalha e para os seus dados pessoais.

As mensagens são customizadas para o cliente de maneira que o phishing educativo simula um ataque direcionado e o material de treinamento é feito sob medida para ser claro e sensibilizar o usuário, de modo a criar uma situação de identificação com o tema e conscientizá-lo da maneira mais eficiente.

Também faz parte da solução uma interface com todas as estatísticas sobre quais usuários abriram o e-mail, clicaram no link da mensagem e cumpriram com o treinamento. Além de informações técnicas sobre quais foram os browsers e versões utilizadas e outros dados que podem apoiar o administrador no diagnóstico de possíveis problemas de atualização de software no seu ambiente. El Pescador está em linha com estudos acadêmicos de ponta e combate o problema na raiz.

 


1 comment

  1. […] um cenário de ataque real e conduzir o usuário para um treinamento alinhado à sua realidade. Conforme citamos também aqui no blog do El Pescador, um estudo acadêmico comprovou que é essencial para este tipo de plataforma “evitar o uso de […]

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*