Skip to content
Search Select language
Português
Cancel

Teste de phishing

Descubra qual porcentagem dos seus funcionários é Phish-prone com o seu teste gratuito de simulação de phishing.

Você sabia que 91% das violações de dados bem-sucedidas começaram com um ataque de spear phishing?

Descubra qual porcentagem dos seus funcionários é Phish-prone™ com o seu teste gratuito de simulação de phishing. E compare seu desempenho com o de organizações semelhantes com os novos Dados de benchmark do setor!

Os profissionais de TI perceberam que testes simulados de phishing são urgentemente necessários como uma camada adicional de segurança. Atualmente, testar a vulnerabilidade de seus próprios usuários a ataques de phishing é tão importante quanto ter um antivírus e um firewall. Essa é uma melhor prática de segurança cibernética divertida e eficaz para proteger a sua última linha de defesa: OS USUÁRIOS.

Por quê? Se você não fizer isso, os criminosos cibernéticos farão.

Veja como funciona:
  • Inicie imediatamente o seu teste para até 100 usuários (não é necessário avisar ninguém).
  • Selecione um dos mais de 20 idiomas e personalize o modelo de teste de phishing de acordo com o seu ambiente.
  • Escolha a página de destino que os usuários verão depois de clicar.
  • Mostre aos usuários quais sinais de alerta eles deixaram passar ou exiba uma página 404. 
  • Receba um PDF por e-mail em 24 horas com sua porcentagem de Phish-prone e gráficos para compartilhar com a gerência.
  • Veja como sua organização se compara a outras no seu setor

A porcentagem de Phish-prone geralmente é maior do que você espera e é uma ótima ferramenta para conseguir orçamento.

Comece a aplicar phishing em seus usuários agora mesmo. Preencha o formulário e comece imediatamente!

Inscreva-se para receber seu teste gratuito

Conceito de phishing

Phishing é o processo de tentar obter informações sigilosas, como nomes de usuários, senhas e dados de cartão de crédito, fingindo ser uma entidade confiável, por meio de e-mails em massa que tentam burlar filtros de spam.

E-mails supostamente enviados por redes sociais populares, bancos, sites de leilão ou administradores de TI são comumente usados para ludibriar pessoas inocentes. É uma forma de engenharia social fraudulenta e criminosa.

Perguntas frequentes sobre phishing

O que pode ser feito para prevenir ataques de phishing?
A lista abaixo não é exaustiva e não pretende ser a solução definitiva para acabar com o phishing. No entanto, ela é uma lista das melhores práticas :
  1. Compreender os riscos que você enfrenta
  2. Criar políticas adequadas
  3. Manter os sistemas atualizados
  4. Ter backups bons e recentes
  5. Implantar soluções anti-phishing
  6. Implementar melhores práticas para o comportamento dos usuários
  7. Utilizar inteligência robusta contra ameaças

Confira também abaixo nossas 10 dicas de prevenção para compartilhar com seus usuários e ajudá-los a estarem protegidos em qualquer lugar:

  1. Mantenha-se sempre informado sobre as técnicas de phishing.
  2. Pense antes de clicar!
  3. Instale uma barra de ferramentas antiphishing.
  4. Verifique a segurança do site.
  5. Examine regularmente suas contas online.
  6. Mantenha seu navegador atualizado.
  7. Use firewalls.
  8. Tenha cuidado com pop-ups.
  9. Nunca forneça dados pessoais se estiver desconfiado.
  10. Use um programa antivírus. 

Sua última linha de defesa contra ataques de phishing é o usuário. Por isso, a medida mais importante para a prevenção é um programa inovador de treinamento de conscientização em segurança, combinado com simulações de phishing frequentes.

Como faço para simular um ataque de phishing contra os usuários?

A simulação de phishing e o treinamento de usuários como última linha de defesa são uma das melhores formas de se proteger contra ataques. Confira os quatro passos básicos a serem seguidos:

  1. Aplique um teste de linha de base para avaliar a porcentagem de usuários que são Phish-prone antes de treiná-los. Você precisa entender em quais ataques eles cairão ou não e ter dados para medir o sucesso futuro.
  2. Treine os usuários implementando um treinamento interativo, interessante e por demanda, para que eles realmente compreendam a mensagem.
  3. Simule um ataque de phishing contra os usuários pelo menos uma vez por mês para reforçar o treinamento e manter o processo de aprendizado.
  4. Examine os resultados do treinamento e do ataque simulado de phishing, tentando obter o valor mais próximo possível de 0%.

Outros cinco pontos a serem levados em consideração:

  1. A conscientização em si é apenas um dos fatores da defesa em profundidade, mas é fundamental.
  2. Você não pode e não deve fazer isso sozinho.
  3. Você não pode e não deve oferecer treinamento para tudo.
  4. As pessoas só dão atenção ao que consideram relevante para elas mesmas.
  5. A continuidade do processo serve para ajudar o funcionário a tomar decisões de segurança mais inteligentes.

E as 5 melhores práticas a serem adotadas, em nossa opinião:

  1. Ter metas específicas antes de começar.
  2. Conseguir o apoio da equipe executiva.
  3. Decidir quais comportamentos você deseja remodelar. Escolha 2 ou 3 e trabalhe neles por um período de 12 a 18 meses.
  4. Aja como se o seu programa fosse um projeto de marketing.
  5. Simule ataques de phishing com frequência, pelo menos uma vez ao mês.

Simular um ataque de phishing contra os usuários é até divertido! Você pode fazer tudo o que foi mencionado acima com o nosso programa de treinamento de conscientização em segurança. Se precisar de ajuda para começar, mesmo que não seja cliente, você pode criar seu próprio Automated Security Awareness Program (ASAP) personalizado respondendo de 15 a 25 perguntas sobre a sua organização.

Quais são os tipos mais comuns de e-mail de phishing?

Os criminosos cibernéticos atualizam constantemente suas técnicas de phishing. Embora o conteúdo dos e-mails de phishing tenha passado por grandes mudanças e continue mudando ao longo dos anos, algumas variações básicas são mais comuns: 

  1. E-mail de phishing clássico: nos últimos anos, prestadores de serviços online passaram a avisar os clientes ao detectar atividades incomuns ou preocupantes nas contas. É claro, os criminosos usam isso em seu favor. Muitos desses e-mails são redigidos com erros de ortografia etc., mas alguns parecem verdadeiros o suficiente para que alguém clique neles se não estiver atento.

  2. Explorações de redes sociais: muitos usuários possuem informações disponíveis ao público em plataformas como Facebook, LinkedIn e Twitter. Os criminosos coletam essas informações para criar e-mails de spear phishing direcionados contra sua organização e seus usuários. Esses e-mails fazem parte de campanhas criadas para sequestrar contas, prejudicar a reputação da organização ou obter acesso à rede. 
     
  3. Anexos infectados: anexos de HTML mal-intencionados não são tão frequentes como os anexos .JS ou .DOC, mas são desejados pelos criminosos por vários motivos. Em primeiro lugar, a chance de detecção por antivírus é baixa, já que os arquivos .HTML não são comumente associados a ataques por e-mail. Em segundo lugar, os anexos de HTML são geralmente utilizados por bancos e outras instituições financeiras. Por isso, as pessoas estão acostumadas a encontrá-los na caixa de entrada. 

    Macros mal-intencionadas em e-mails de phishing também são uma maneira cada vez mais comum de disseminar ransomware. Esses documentos muitas vezes conseguem enganar os programas antivírus sem grande dificuldade. Os e-mails de phishing transmitem um sentido de urgência para o destinatário. Se o usuário não ativar as macros, o ataque não acontecerá.

  4. Fraude do CEO: a fraude do CEO é um tipo de golpe no qual os criminosos cibernéticos falsificam contas de e-mail da empresa e se fazem passar por executivos para tentar enganar funcionários dos setores de contabilidade e RH, induzindo-os a fazer transferências não autorizadas ou divulgar informações fiscais sigilosas. Geralmente, os criminosos cibernéticos já reuniram dados suficientes para saber quem é o alvo que eles querem.
Como funciona o teste de phishing?

O teste de phishing da KnowBe4 pode identificar o grau de vulnerabilidade da rede indicando quantas pessoas podem ser suscetíveis a um ataque de engenharia social por e-mail.

Ele também pode ser usado para complementar e reforçar o treinamento recebido nos módulos de treinamento da KnowBe4, proporcionando aos usuários uma experiência prática para reconhecer ataques de engenharia social e reagir adequadamente.

O teste funciona assim: o PST envia um e-mail para cada usuário da organização. No teste de phishing inicial e gratuito, o e-mail enviado é um teste de link que traz um texto criado para induzir o usuário a clicar em um link contido na mensagem. Se o usuário clicar no link, será direcionado para uma página de destino. Nossa página de destino básica informa o usuário que ele participou de um teste de phishing simulado e recomenda algumas regras que ele deverá adotar ao examinar sua caixa de entrada.

Os resultados do teste incluem a quantidade de usuários reprovados no teste, dividida pelo número de usuários que receberam o e-mail. Assim você terá uma porcentagem de Phish-prone, que significa a proporção de usuários "reprovados" no PST.

Acabei de enviar um teste de phishing. E agora?

Depois de executar o teste, você pode acessar sua conta a qualquer momento para verificar os resultados na página Painel. Você poderá ver sua  porcentagem de Phish-Prones, mostrando a vulnerabilidade da organização se ocorrer uma ataque de phishing semelhante. Também será possível comparar a sua porcentagem de Phish-Prone com a de outras organizações do setor após um ano de treinamento de conscientização em segurança combinado com simulação de phishing.

Após 24 horas, você também receberá automaticamente por e-mail um relatório no formato PDF. Se quiser saber quem clicou, seu representante ou revendedor poderá fornecer essa informação.

De posse dessas informações, você pode ajudar a proteger a organização ensinando aos usuários os perigos decorrentes desses tipos de ataques. Inscrever-se no novo curso de treinamento de conscientização em segurança da KnowBe4 pode ajudar a alcançar essa meta. Com a KnowBe4, você pode ensinar o usuário a identificar sinais de perigo e mantê-lo alerta enviando ataques de phishing falsos semelhantes aos da ferramenta gratuita.

O phishing em dispositivos móveis está piorando?

Os ataques a dispositivos móveis não são novidade, mas vêm ganhando força como vetor de ataque corporativo.

Nos ataques de phishing, os invasores agora utilizam SMS e alguns dos aplicativos de redes sociais mais populares e utilizados do momento, como WhatsApp, Facebook Messenger e Instagram. Os profissionais de segurança que ignoram essas novas rotas de ataque estão colocando suas organizações em risco.

Veja alguns riscos relacionados ao phishing causados pelo uso de dispositivos móveis:

  • Aplicativos - falta de segurança incorporada. Geralmente, os aplicativos gratuitos solicitam muitos acessos sem necessidade.
  • Wi-Fi - o dispositivo geralmente escolhe o sinal mais forte, que pode ser uma rede Wi-Fi de aparência verdadeira mas que, na verdade, é falsa, com um invasor à espreita para monitorar, interceptar ou até mesmo alterar as comunicações que partem do seu dispositivo.
  • Bluetooth - pode ser usado para espalhar vírus. Hackers podem usá-lo para invadir telefones e acessar e explorar dados da organização.
  • Erro humano - criminosos vendem aparelhos perdidos e roubados para compradores mais interessados nos dados do que no próprio dispositivo.
  • Smishing - também conhecido como phishing por SMS. Assim como o e-mail de phishing, o texto de smishing pode tentar induzir a vítima a revelar informações pessoais, pedindo ao destinatário para realizar atividades aparentemente comuns. Por exemplo: o usuário recebe uma mensagem dizendo que seu banco notou uma atividade incomum na conta ou informando que a pessoa ganhou um brinde de sua loja favorita.
Saiba mais sobre exemplos de phishing, phishing em dispositivos móveis e como prevenir ataques em nosso Guia Definitivo sobre Phishing.