Uma das frases mais ditas no meio da Segurança da Informação ou o meio de TI como um todo é que o usuário é sempre o fator mais problemático de tudo, é o usuário que não sabe usar as tecnologias de forma correta, é o usuário que não sabe configurar uma VPN ou abrir um chamado falando corretamente o que ele precisa. Na Segurança da Informação se diz que o usuário é o elo mais fraco de todos e nesse ponto eu concordo, o fator humano é mais imprevisível de todos e, sendo assim, o mais difícil de se criar regras para manter o controle.
Partindo desse princípio, o que geralmente as empresas fazem? Investem em tecnologias, firewalls caros, grandes nomes do mercado, proteção por todos os lados e com isso, claro, deixam o ambiente burocrático e muito chato para se trabalhar, visto que em todos os cantos existem bloqueios, bloqueio de Redes sociais, bloqueios de sites, bloqueio de portas e tudo mais. No começo eu também tinha uma visão mais fechada sobre isso, pensava que o correto mesmo era fazer bloqueios e não permitir que o usuário (colaborador) tivesse a capacidade de tomar uma decisão, depois de um tempo percebi que a processo deve ser exatamente o contrário, o foco deve ser para o usuário, um usuário/colaborador/funcionário bem treinado, com conhecimentos sobre como os ataques funcionam, entender como o sigilo de suas senhas são importantes é mais eficiente que muitos modelos de UTM do mercado.
Um tipo de treinamento que achei muito interessante sua aplicação é o treinamento de Phishing, ou seja, são enviados e-mails de phishing para os colaboradores com o objetivo de avaliar quem vai clicar ou não na armadilha. Claro que o objetivo não é punir ninguém, eu particularmente tinha mais interesse em ver todos os colaboradores caindo no phishing e fazendo o treinamento do que perceber que a grande maioria nem ao menos viu o e-mail, claro que no mundo real é diferente.
Na época eu pesquisei algumas empresas que faziam esse tipo de treinamento de phishing, localizei algumas e acabei tomando a decisão de fazer isso com a empresa El Pescador, da Tempest.
O que me chamou a atenção para o El Pescador foi que o treinamento é uma animação muito bem feita, simples e com visual quase infantil, duração média de mais ou menos 4 minutos, ou seja, nada daquela falação chata sobre Segurança da Informação que ninguém quer ouvir (sim, segurança da informação é chato demais para os não “iniciados”).
Bem, como a coisa funciona na prática?
O processo é simples, em conjunto com a equipe do El Pescador, selecionamos o template do e-mail que seria enviado para os colaboradores, no nosso caso, foi um template da tela de login do Microsoft Office 365. A sugestão foi da própria equipe do El Pescador, fizeram um processo inicial de hacking em nosso ambiente e descobriram que usavamos o Office 365, na época perguntei para eles qual era o motivo de terem feito dessa forma e me falaram que a ideia era simular um atacante real focado em comprometer a empresa, ou seja, um ataque do tipo APT.
Depois de selecionado o template do e-mail que vai tentar enganar os colaboradores, selecionei os alvos, ou seja, os funcionários que iriam receber esse e-mail, não mandei para todos pois iria acabar caindo na “rádio pião” e iria acabar comprometendo a campanha de phishing, selecionei mais ou menos 1300 pessoas para receber o e-mail, definimos a data de lançamento e pronto, depois disso recebemos um painel administrativo com login e senha para avaliar em tempo real como estava o andamento da campanha de phishing, quantas pessoas abriram o e-mail, quantas pessoas clicaram no link, quantas pessoas colocaram seu login e senha na página falsa do Office 365, quantas pessoas viram o vídeo do treinamento, quantas desistiram de ver o vídeo e finalmente quantas pessoas fizeram o Quiz (são 10 perguntas bem simples sobre phishing, com imagens para ajudar o colaborador a fixar o conteúdo).
Infelizmente nem tudo são flores e Segurança da Informação deve ser um processo rotineiro dentro de uma empresa, principalmente se for uma empresa muito grande, depois de alguns dias com a campanha de phishing no ar, percebi que a grande maioria das pessoas nem mesmo clicaram no link, algumas nem viram esse e-mail chegando em suas caixas de e-mail e apenas uma minoria clicou no link e assistiu o treinamento, a lição aprendida com isso? O treinamento deve ser contínuo e não apenas algumas vezes por ano, Segurança da Informação é um tema muito chato para quem não conheço e toda forma de melhorar como esse conteúdo é passado é muito válida.
O feedback positivo que tive de alguns colaboradores foi que todos acharam esse método de treinamento muito interessante, ou seja, “atacando” seus próprios funcionários. Eu particularmente considero que é melhor que eles sejam atacados pela empresa em treinamentos do que atacados por criminosos.
Tive um pouco de dificuldade para conseguir orçamento para iniciar esse projeto, o valor não é muito barato, mas para uma empresa grande acho que vale muito a pena. Fiquei namorando com a Tempest/El Pescador por mais ou menos um ano e meio até finalmente colocar em prática o treinamento para os colaboradores.
Acima está um exemplo do e-mail de phishing que foi enviado. Texto puro? Sim, para evitar os filtros de Spam, mas isso é customizado ao gosto do cliente, no meu caso fizemos assim (a equipe do El Pescador fez) pois o Office 365 já tem vários filtros default para não abrir imagens em e-mails.
Os e-mails são enviados de forma personalizada, ou seja, o colaborador vai receber o e-mail com seu nome. Tivemos que criar um servidor de SMTP para enviar os e-mails? Não, a equipe do El Pescador cuidou disso tudo, eles tem servidores para enviar esses e-mails, eles compraram um domínio para tentar enganar os colaboradores, algo do tipo:
Domínio correto da empresa: www.empresax.com.br Domínio falso criado para a campanha de phshing: www.empreesax.com.br
A alteração é mínima, justamente para tentar enganar o colaborador.
No final da campanha, é gerado um relatório completo com uma linguagem bem simples que pode servir de base para uma apresentação para as lideranças da área.
Acima temos o dado mais triste de todos, a grande maioria não finalizou o treinamento e nem mesmo chegaram a ver o vídeo do treinamento. Embora triste e um pouco frustrante essa informação, acho que mais do que tudo, isso serve de alerta para uma reflexão de como a Segurança da Informação deve ser ensinada ou transmitida, se o colaborador não clicou muito possivelmente foi porque não achou que isso iria lhe ajudar em sua vida profissional ou pessoal.
Tem mais empresas que fazem esse tipo de serviço? Sim, poucas, particularmente conheço mais três empresas:
PhishX – Quando fiz uma cotação com a PhishX, o alvo do phishing recebia uma espécie de banner não animado, não achei muito interessante já que o objetivo era atrair a atenção do colaborador.
Pacific Security – Trabalham com animações também, visual muito agradável e com possibilidade do cliente customizar o conteúdo.
AuditSafe – Quando verifiquei eles trabalhavam com um treinamento em vídeo, uma animação também, mas com o conteúdo mais demorado, era quase uma palestra sobre Segurança da Informação. Achei interessante, mas para uma campanha de phishing inicial não achei muito atrativo para o colaborador, se com uma animação de mais ou menos 4 minutos e um visual bem lúdico os colaboradores não se sentiram atraídos pelo vídeo, imagine um vídeo de mais ou menos 30 minutos. Na minha opinião o modelo da AuditSafe é voltado para um público mais maduro, com mais conhecimento sobre Segurança da Informação.
Conhece algum outro serviço ou método legal? Deixe seu comentário abaixo!
Até o próximo!