Uma simulação de phishing é um exercício de cibersegurança que testa a capacidade de uma organização de reconhecer e responder a um ataque de phishing.

Um ataque de phishing é um e-mail, mensagem de texto ou de voz fraudulento criado para induzir as pessoas a baixar malware (como ransomware), revelar informações confidenciais (como nomes de usuário, senhas ou detalhes de cartões de crédito) ou enviar dinheiro para as pessoas erradas.

Durante uma simulação de phishing, os funcionários recebem e-mails (ou mensagens de texto ou chamadas telefônicas) simulados de phishing que imitam tentativas reais de phishing. As mensagens empregam as mesmas táticas de engenharia social (por exemplo, passar-se por alguém que o destinatário conhece ou confia, criando um senso de urgência) para ganhar a confiança do destinatário e manipulá-lo para que tome medidas imprudentes. A única diferença é que os destinatários que mordem a isca (por exemplo, clicando em um link malicioso, baixando um anexo malicioso, inserindo informações em uma página de destino fraudulenta ou processando uma fatura falsa) simplesmente falham no teste, sem impacto adverso para a organização.

Em alguns casos, os funcionários que clicam no link malicioso simulado são levados a uma página de entrada indicando que foram vítimas de um ataque de phishing simulado, com informações sobre como identificar melhor os golpes de phishing e outros ataques cibernéticos no futuro. Após a simulação, as organizações também recebem métricas sobre as taxas de cliques dos funcionários e, muitas vezes, seguem com treinamento adicional de conscientização sobre phishing.

Estatísticas recentes mostram que as ameaças de phishing continuam aumentando. Desde 2019, o número de ataques de phishing cresceu 150% ao ano, com o Anti-Phishing Working Group (APWG) relatando um recorde histórico de phishing em 2022, registrando mais de 4,7 milhões de sites de phishing. De acordo com a Proofpoint, 84% das organizações em 2022 sofreram pelo menos um ataque de phishing bem-sucedido.

Como nem mesmo os melhores gateways de e-mail e ferramentas de segurança podem proteger as organizações de todas as campanhas de phishing, as organizações recorrem cada vez mais a simulações de phishing. Simulações de phishing bem elaboradas ajudam a mitigar o impacto dos ataques de phishing de duas maneiras importantes. As simulações fornecem informações das quais as equipes de segurança precisam para educar os funcionários a reconhecer melhor e evitar ataques de phishing na vida real. Elas também ajudam as equipes de segurança a identificar vulnerabilidades, melhorar a resposta geral a incidentes e reduzir o risco de violações de dados e perdas financeiras decorrentes de tentativas bem-sucedidas de phishing.

Os testes de phishing geralmente fazem parte de um treinamento mais amplo de conscientização de segurança conduzido por departamentos de TI ou equipes de segurança.

O processo geralmente envolve cinco etapas:

1. Planejamento: as organizações começam definindo seus objetivos e determinando o escopo, decidindo que tipo de e-mails de phishing usar e a frequência das simulações. Elas também determinam o público-alvo, incluindo a segmentação de grupos ou departamentos específicos e, muitas vezes, executivos. 
2. Rascunho: depois de formar um plano, as equipes de segurança criam e-mails de phishing simulados realistas que se assemelham a ameaças de phishing reais, muitas vezes modeladas em modelos de phishing e kits de phishing disponíveis na dark web. Elas prestam muita atenção a detalhes como linhas de assunto, endereços de remetentes e conteúdo para fazer simulações de phishing realistas. Elas também incluem táticas de engenharia social, até mesmo personificando (ou "imitando") um executivo ou colega de trabalho como remetente, para aumentar a probabilidade de os funcionários clicarem nos e-mails.
3. Envio: depois de finalizar o conteúdo, as equipes de TI ou fornecedores externos enviam os e-mails de phishing simulados ao público-alvo por meios seguros, com a privacidade em mente.
4. Monitoramento: depois de enviar os e-mails maliciosos simulados, os líderes rastreiam e registram de perto como os funcionários interagem com os e-mails simulados, monitorando se eles clicam em links, baixam anexos ou fornecem informações confidenciais.
5. Análise: após o teste de phishing, os líderes de TI analisam os dados da simulação para determinar tendências, como taxas de cliques e vulnerabilidades de segurança. Depois, eles acompanham os funcionários que falharam na simulação com feedback imediato, explicando como eles poderiam ter identificado corretamente a tentativa de phishing e como evitar ataques reais no futuro.

Depois de concluir essas etapas, muitas organizações compilam um relatório abrangente resumindo os resultados da simulação de phishing para compartilhar com os stakeholders relevantes. Algumas também usam os insights para aprimorar seu treinamento de conscientização de segurança antes de repetir o processo regularmente, para aprimorar a conscientização sobre cibersegurança e ficar à frente da evolução das ameaças cibernéticas.

Ao executar uma campanha de simulação de phishing, as organizações devem levar em consideração o seguinte.

• Frequência e variedade de testes: muitos especialistas sugerem realizar simulações de phishing regularmente ao longo do ano usando diferentes tipos de técnicas de phishing. Essa maior frequência e variedade pode ajudar a reforçar a conscientização sobre cibersegurança, garantindo que todos os funcionários permaneçam vigilantes contra a evolução das ameaças de phishing.
• Conteúdo e métodos: quando se trata de conteúdo, as organizações devem desenvolver e-mails de phishing simulados que se assemelhem a tentativas de phishing realistas. Uma maneira de fazer isso é usar modelos de phishing modelados após tipos populares de ataques de phishing para atingir os funcionários. Por exemplo, um modelo pode se concentrar no comprometimento de e-mail de negócios (BEC), também chamado de fraude do CEO, um tipo de spear phishing no qual os cibercriminosos emulam e-mails de um dos executivos de nível de diretoria da organização para enganar os funcionários a liberar informações confidenciais ou transferir grandes quantias de dinheiro a um suposto fornecedor. Assim como os cibercriminosos que lançam golpes de BEC na vida real, as equipes de segurança que projetam a simulação devem pesquisar cuidadosamente o remetente e os destinatários para tornar o e-mail confiável.
• Momento: o momento ideal para as organizações realizarem uma simulação de phishing continua sendo uma fonte contínua de debate. Algumas preferem implantar um teste de phishing antes que os funcionários concluam qualquer treinamento de conscientização sobre phishing para estabelecer uma referência e medir a eficiência de futuras soluções de simulação de phishing. Outras preferem esperar até depois do treinamento de conscientização sobre phishing para testar a eficácia do módulo e ver se os funcionários relatam adequadamente os incidentes de phishing. O momento em que uma organização decide executar uma simulação de phishing depende de suas necessidades e prioridades.
• Acompanhamento educativo: não importa quando as organizações decidem realizar um teste de phishing, ele geralmente faz parte de um programa de treinamento de conscientização de segurança maior e mais abrangente. O treinamento de acompanhamento ajuda os funcionários que falharam no teste a se sentirem apoiados em vez de apenas enganados, e fornece conhecimento e incentivos para identificar e-mails suspeitos ou ataques reais no futuro.
• Acompanhamento do progresso e das tendências: após as simulações, as organizações devem medir e analisar os resultados de cada teste de simulação de phishing. Isso pode identificar áreas de melhoria, incluindo funcionários específicos que podem precisar de treinamento adicional. As equipes de segurança também devem se manter informadas sobre as últimas tendências e táticas de phishing para que, na próxima vez que fizerem uma simulação de phishing, possam testar os funcionários com as ameaças mais relevantes da vida real.

Simulações de phishing e treinamentos de conscientização de segurança são medidas preventivas importantes, mas as equipes de segurança também precisam de recursos de detecção e resposta a ameaças de última geração para mitigar o impacto de campanhas de phishing bem-sucedidas.