0
0
Pesquisadores do Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveram um novo método chamado Escala phish que poderia ajudar as organizações a treinar melhor seus funcionários para evitar uma forma particularmente perigosa de ataque cibernético conhecida como phishing.
Até 2021, os danos globais por crimes cibernéticos custarão US$ 6 trilhões anualmente, acima dos US$ 3 trilhões em 2015, de acordo com estimativas do Relatório Anual Oficial de Crimes Cibernéticos de 2020 da Cybersecurity Ventures.
Um dos tipos mais prevalentes de crimes cibernéticos é o phishing, uma prática onde hackers enviam e-mails que parecem ser de uma instituição conhecida ou confiável. Um e-mail de phishing (ou phish) pode tentar os usuários com uma variedade de cenários, desde a promessa de cartões de presente gratuitos até alertas urgentes da alta administração. Se os usuários clicarem em links em um e-mail de phishing, os links podem levá-los a sites que podem depositar malware perigoso nos computadores da organização.
https://www.kaltura.com/p/684682/sp/68468200/embedIframeJs/uiconf_id/31013851/partner_id/684682?iframeembed=true&entry_id=0_813gb722?iframeembed=true&entry_id=0_813gb722Se seus funcionários estiverem online, eles são um alvo para phishing. Digite a Escala phish. Criada por pesquisadores do NIST usando dados reais, essa escala permite avaliar a qualidade e a sofisticação dos ataques de phishing para ajudá-lo a entender melhor suas vulnerabilidades de phishing.
Muitas organizações têm programas de treinamento de phishing nos quais os funcionários recebem e-mails falsos de phishing gerados pela própria organização dos funcionários para ensiná-los a serem vigilantes e reconhecer as características dos e-mails reais de phishing. Os principais oficiais de segurança da informação (CISOs), que muitas vezes supervisionam esses programas de conscientização de phishing, então olham para as taxas de cliques ou com que frequência os usuários clicam nos e-mails, para determinar se seu treinamento de phishing está funcionando. Taxas de cliques mais altas geralmente são vistas como ruins porque significa que os usuários não perceberam que o e-mail era um phish, enquanto as baixas taxas de cliques são frequentemente vistas como boas.
No entanto, os números sozinhos não contam toda a história. “A Escala phish tem o objetivo de ajudar a fornecer uma compreensão mais profunda sobre se um e-mail de phishing em particular é mais difícil ou mais fácil para um público-alvo específico detectar”, disse a pesquisadora do NIST Michelle Steves. A ferramenta pode ajudar a explicar por que as taxas de clique são altas ou baixas.
O Phish Scale usa um sistema de classificação baseado no conteúdo da mensagem em um e-mail de phishing. Isso pode consistir em pistas que devem alertar os usuários sobre a legitimidade do e-mail e a premissa do cenário para o público-alvo, o que significa que qualquer tática que o e-mail usa seria eficaz para esse público. Esses grupos podem variar amplamente, incluindo universidades, instituições empresariais, hospitais e agências governamentais.
O novo método utiliza cinco elementos classificados em uma escala de 5 pontos que se relacionam com a premissa do cenário. A pontuação geral é então usada pelo treinador de phishing para ajudar a analisar seus dados e classificar o exercício de phishing como baixa, média ou alta dificuldade.
O significado da Escala phish é dar aos CISOs uma melhor compreensão de seus dados de taxa de cliques em vez de depender apenas dos números. Uma baixa taxa de cliques para um e-mail de phishing em particular pode ter várias causas: Os e-mails de treinamento de phishing são muito fáceis ou não fornecem contexto relevante para o usuário, ou o e-mail de phishing é semelhante a um exercício anterior. Dados como este podem criar uma falsa sensação de segurança se as taxas de cliques forem analisadas por conta própria sem entender a dificuldade do e-mail de phishing.
Usando a Escala phish para analisar as taxas de cliques e coletando feedback dos usuários sobre por que eles clicaram em certos e-mails de phishing, os CISOs podem entender melhor seus programas de treinamento de phishing, especialmente se eles forem otimizados para o público-alvo pretendido.
A Escala phish é o ápice de anos de pesquisa, e os dados utilizados para ela vêm de um cenário “operacional”, muito o oposto de um experimento de laboratório com variáveis controladas. “Assim que você coloca as pessoas em um ambiente de laboratório, elas sabem”, disse Steves. “Eles estão fora de seu contexto regular, seu ambiente de trabalho regular e suas responsabilidades regulares de trabalho. Isso já é artificial. Nossos dados não vieram de lá.
Esse tipo de dados operacionais é benéfico e em falta no campo da pesquisa. “Tivemos muita sorte de poder publicar esses dados e contribuir para a literatura dessa forma”, disse a pesquisadora do NIST Kristen Greene.
Quanto aos próximos passos, Greene e Steves dizem que precisam de ainda mais dados. Todos os dados utilizados para a Escala phish vieram do NIST. O próximo passo é expandir o pool e adquirir dados de outras organizações, incluindo as não governamentais, e garantir que a Escala Phish funcione como deveria ao longo do tempo e em diferentes configurações operacionais. “Sabemos que o cenário de ameaças de phishing continua a mudar”, disse Greene. “A Escala phish se mantém contra todos os novos ataques de phishing? Como podemos melhorá-lo com novos dados?” A pesquisadora da NIST Shaneé Dawkins e seus colegas estão agora trabalhando para fazer essas melhorias e revisões.
As etapas detalhadas da ferramenta DIY estão listadas na seção métodos do papel.
Enquanto isso, a Escala phish fornece uma nova maneira para os profissionais de segurança de computador entender melhor as taxas de cliques de phishing de sua organização e, finalmente, melhorar o treinamento para que seus usuários estejam melhor preparados contra cenários reais de phishing.
As informações sobre a Escala phish são publicadas em um artigo de pesquisa que aparece na edição atual do Journal of Cybersecurity. Para obter informações adicionais sobre o desenvolvimento da Escala phish, consulte o corpo de pesquisa da equipe.
FONTE: NIST