As simulações tradicionais de phishing estão te enganando: por que métricas de taxas de cliques são insuficientes?

Seja apenas por compliance ou por uma preocupação por cibersegurança, todos já nos deparamos com uma simulação tradicional de phishing. Aquele tradicional e-mail anunciando uma promoção ou com uma mensagem alarmante, pode trazer diversas consequências para empresas e instituições.

Um caso emblemático sobre como simulações de phishing tradicionais podem afetar negativamente as instituições ocorreu em 2023. Uma universidade na Califórnia, em 2024, realizou um teste de phishing em que o assunto do e-mail era: “Notificação de Emergência: Caso de Ebola no Campus”. O e-mail, que não passava de um teste, deixou alunos e funcionários em pânico.

Simulações de phishing mais tradicionais como essas, podem gerar medo e desmotivação nos usuários. E a que custo? Esses testes de phishing mais clássicos além de trazerem danos para as instituições, também não apresentam métricas de fato impactantes.

Como exemplo disso, a Google passou em anos recentes a não aplicar mais os testes tradicionais de phishing. No seu blog oficial, a big tech anuncia e explica os motivos por trás da decisão. “Educar os funcionários sobre como alertar as equipes de segurança sobre ataques em andamento continua sendo um complemento valioso e essencial para uma postura holística de segurança. No entanto, não há necessidade de tornar isso um ato de confronto, e não ganhamos nada ‘pegando’ pessoas ‘falhando’ na tarefa.”, diz a empresa no texto chamado “On Fire Drills and Phishing Tests”.

Em testes tradicionais de phishing, as métricas apenas revelam os usuários que clicaram e os usuários que não clicaram no e-mail de phishing. Porém, essa métrica sozinha abre margem para uma miríade de dúvidas, questionamentos e possibilidades.

Uma taxa alta de usuários que não clicaram no phishing, não necessariamente quer dizer que a organização está segura por tabela. É possível que os funcionários de uma empresa estejam tão atarefados que nem tiveram tempo de clicar na mensagem, um grupo de funcionários ficou sabendo que o e-mail de phishing seria disparado, ou então a temática utilizada na simulação de phishing não era do interesse do usuário.

A raiz deste problema, de acordo com o fundador e CEO da Hacker Rangers Vinicius Perallis, está no afastamento da intenção principal das simulações de phishing que é medir o nível de proteção de uma empresa contra ataques de engenharia social. Empresas e instituições começaram a usar simulações de phishing para conscientizar colaboradores. “Uma grande confusão que se tem é que a simulação de phishing e-mail é usada para um propósito muito diferente do que o propósito para o qual ele nasceu e deveria se encaixar”, pontua Vinícius no Hacker Rangers Podcast.

Pensando em todo esse cenário de questionamento dos métodos mais tradicionais de aplicações de phishing. O National Institute of Standards and Technology (NIST) publicou em 2023, o guia NIST Phish Scale traz orientações sobre como reconhecer sinais de que um e-mail é um phishing. O documento da NIST lista 23 tipos de sinais a serem verificados frente à um e-mail suspeito.

E com tudo isso em mente, a Hacker Rangers criou o game PhishOS, um simulador de phishing pensado inteiramente com base na NIST Phish Scale, e pensado para ir além da mera contagem de cliques. No PhishOS, os jogadores devem explicitar o porquê do e-mail ser ou não uma mensagem de phishing, onde existem 34 possíveis cenários a serem identificados pelos usuários.