Atualmente, quase todo mundo que você conhece já clicou em um link malicioso ou respondeu a um texto suspeito em algum momento da vida, mesmo que não tenha caído totalmente no golpe ao inserir a senha ou baixar ransomware. Como podemos entender melhor por que o phishing é um crime tão eficaz? Por que algumas pessoas completam o falso "funil de vendas" do golpista e entregam suas joias digitais? Como podemos ajudar as pessoas a rejeitar a isca?

O torneio anual Gone Phishing Tournament (GPT) foi criado pelo serviço Terranova Security da Fortra e pela Microsoft para responder a essas perguntas. O torneio do ano passado, realizado em outubro de 2023, estabeleceu recordes e revelou algumas verdades difíceis sobre phishing nos anos 2020.
 

O que é o Gone Phishing Tournament?

O GPT é um evento gratuito de treinamento de simulação de phishing realizado anualmente, projetado para ajudar organizações e líderes de segurança a entenderem melhor suas áreas de alto risco. Ao fornecer dados de benchmarking de phishing com base nos resultados do evento, as organizações podem aprender sobre suas vulnerabilidades, comparar desempenhos e estabelecer objetivos realistas para mudanças comportamentais.

O GPT foca em uma única ameaça de phishing realista. A simulação de 2023 teve como alvo funcionários com uma falsa notificação de expiração de senha — uma tática cibernética cada vez mais comum. O email de phishing permitia que os destinatários mantivessem suas senhas atuais, contrariando as melhores práticas de cibersegurança, explorando nossa tendência de evitar o inconveniente de redefinir senhas.

Se o destinatário clicasse no link de senha, era direcionado a uma página de destino para inserir suas credenciais. Se as credenciais fossem enviadas, eles eram notificados de que faziam parte do Gone Phishing Tournament e que teriam sido vítimas de phishing se não fosse uma simulação.

Quase 300 organizações participaram do evento de 2023, tornando-o um dos maiores eventos de simulação de phishing do tipo. Mais de 1,37 milhão de pessoas receberam o e-mail de phishing, e essas mensagens foram enviadas em 31 idiomas.

Resultados e revelações

O recente GPT revelou uma tendência preocupante: apesar da maior conscientização, as organizações continuam suscetíveis a ataques de phishing. Pouco mais de 10% dos funcionários clicaram no link de phishing, um pequeno aumento em relação a 2022. 

Ainda mais alarmante foi a grande proporção de clicadores de link para os que enviaram senhas. Das pessoas que clicaram no link de phishing, 6 em cada 10 divulgaram suas credenciais. 

Embora os resultados mostrem por que o phishing continua a ser um problema persistente, todos nós podemos trabalhar juntos para ajudar uns aos outros a dizer não ao phishing.

Lições para segurança centrada na pessoa

Os resultados do GPT de 2023 destacam as limitações das proteções técnicas por si só. Embora essenciais, firewalls e medidas de segurança de e-mail não podem garantir a cibersegurança, especialmente no nível empresarial. Devemos desenvolver o conhecimento e os reflexos necessários para detectar e relatar constantemente ameaças de phishing. Aqui estão algumas lições que aprendemos com essa experiência. 

1. Todos nós temos dias ruins: Mesmo as pessoas mais conscientes em segurança podem deixar passar sinais de alerta de phishing se escanearem mensagens rapidamente. A conclusão é clara — reserve tempo para ler e reagir adequadamente a cada email recebido.

2. Escolha treinamento de segurança dinâmico: As plataformas atuais de treinamento em conscientização de segurança devem atualizar continuamente o conteúdo e lançar novos módulos refletindo as tendências em evolução do cibercrime.

3. Simulações podem ser estimulantes: Uma simulação básica é uma ótima maneira de entender o nível de conhecimento da sua organização sobre ameaças de phishing.

4. Comunicação é fundamental: Use ferramentas de comunicação para promover o programa de treinamento, enfatizando sua importância na proteção de informações sensíveis.

5. Gamificação é sua aliada: Considere empregar técnicas de gamificação para manter os participantes engajados com as iniciativas de treinamento, tornando o aprendizado mais interativo e agradável.

Os resultados do GPT de 2023 mostram que a cibersegurança é uma responsabilidade compartilhada. Não há razão para desespero porque podemos trabalhar juntos para tornar a internet mais segura. Coletivamente, podemos construir defesas resilientes contra ataques de phishing e preparar as pessoas para a engenharia social. Baixe uma cópia do relatório aqui e participe do nosso webinar com a Fortra para saber mais!