Até agora, quase todo mundo que você conhece já clicou em um link malicioso ou respondeu a uma mensagem de texto suspeita em algum momento da vida, mesmo que não tenha caído totalmente no golpe ao digitar a senha ou baixar ransomware. Como podemos entender melhor por que o phishing é um crime tão eficaz? Por que algumas pessoas concluem o falso "funil de vendas" do golpista e entregam suas joias da coroa digitais? Como podemos ajudar as pessoas a rejeitar a isca?

O torneio anual Gone Phishing Tournament (GPT) foi criado pelo serviço Terranova Security da Fortra e pela Microsoft para responder a essas perguntas. O torneio do ano passado, realizado em outubro de 2023, quebrou recordes e revelou algumas verdades difíceis sobre phishing na década de 2020.
 

O que é o Gone Phishing Tournament?

GPT é um evento anual gratuito de treinamento por simulação de phishing, projetado para ajudar organizações e líderes de segurança a entender melhor suas áreas de alto risco. Ao fornecer dados de benchmarking de phishing com base nas descobertas do evento, as organizações podem aprender sobre suas vulnerabilidades, comparar o desempenho e estabelecer objetivos realistas para a mudança de comportamento.

O GPT se concentra em uma única ameaça de phishing realista. A simulação de 2023 visou funcionários com uma falsa notificação de expiração de senha — uma tática cibernética cada vez mais comum. O e-mail de phishing permitia que os destinatários mantivessem suas senhas existentes, em contraste com as melhores práticas de cibersegurança, explorando nossa inclinação a evitar o incômodo de redefinir senhas.

Se o destinatário clicasse no link da senha, ele era levado a uma página de destino para solicitar suas credenciais. Se as credenciais fossem enviadas, ele era notificado de que fazia parte do Gone Phishing Tournament e que teria sido vítima de phishing se isso não fosse uma simulação.

Quase 300 organizações participaram do evento de 2023, tornando-o um dos maiores eventos de simulação de phishing desse tipo. Mais de 1,37 milhão de pessoas receberam o e-mail de phishing, e essas mensagens foram enviadas em 31 idiomas.

Resultados e revelações

O recente GPT revelou uma tendência preocupante: apesar da maior conscientização, as organizações continuam suscetíveis a ataques de phishing. Pouco mais de 10% dos funcionários clicaram no link de phishing, um pequeno aumento em relação a 2022. 

Ainda mais alarmante foi a grande proporção entre os que clicaram no link e os que enviaram a senha. Entre as pessoas que clicaram no link de phishing, 6 em cada 10 divulgaram suas credenciais. 

Embora os resultados mostrem por que o phishing continua sendo um problema tão persistente, todos nós podemos trabalhar para nos ajudar mutuamente a dizer não ao phishing.

Lições para a segurança centrada na pessoa

Os resultados do GPT de 2023 ressaltam as limitações das medidas de segurança técnica isoladamente. Embora essenciais, firewalls e medidas de segurança de e-mail não podem garantir a cibersegurança, especialmente no nível empresarial. Precisamos desenvolver o conhecimento e os reflexos necessários para detectar e denunciar consistentemente ameaças de phishing. Há algumas lições que aprendemos com essa experiência. 

1. Todos nós temos dias ruins: Mesmo as pessoas mais conscientes de segurança podem deixar passar sinais de alerta de phishing se estiverem examinando mensagens rapidamente. A lição é clara — reserve tempo para ler e reagir adequadamente a cada e-mail recebido.

2. Escolha treinamento de segurança dinâmico: As plataformas de treinamento de conscientização em segurança de hoje devem atualizar continuamente o conteúdo e lançar novos módulos que reflitam as tendências em evolução do cibercrime.

3. As simulações podem ser estimulantes: Uma simulação de referência é uma ótima maneira de entender o nível de conhecimento da sua organização em relação às ameaças de phishing.

4. A comunicação é fundamental: Use ferramentas de comunicação para promover o programa de treinamento, enfatizando sua importância na proteção de informações confidenciais.

5. A gamificação é sua amiga: Pense em empregar técnicas de gamificação para manter os participantes engajados com as iniciativas de treinamento, tornando o aprendizado mais interativo e agradável.

Os resultados do GPT de 2023 mostram que a cibersegurança é uma responsabilidade compartilhada. Não há motivo para desespero, porque podemos trabalhar juntos para tornar a internet mais segura. Coletivamente, podemos construir defesas resilientes contra ataques de phishing e preparar as pessoas para a engenharia social. Baixe uma cópia do relatório aqui e participe do nosso webinar com a Fortra para saber mais!