O PhishOS é um game para treinamento de phishing que desafia seus colaboradores a identificar e-mails maliciosos em um ambiente controlado e interativo; transforme suas campanhas de simulação de phishing e avalie com precisão as habilidades reais dos seus usuários na detecção de e-mails maliciosos.

Phishing… ainda é um problema?

As mensagens de phishing continuam sendo uma das principais ameaças à segurança para organizações em todo o mundo. Sendo o vetor de ataque mais prevalente hoje, o phishing gera bilhões em custos para as empresas todos os anos.

Apesar dos avanços em tecnologias de proteção e filtros de e-mail, essas medidas não são infalíveis e não conseguem bloquear todas as tentativas de phishing. Com isso, os seus colaboradores se tornam a linha de defesa final contra os ciberataques. 

Reconhecendo isso, muitas organizações enfatizam a importância do treinamento em conscientização sobre segurança, com foco no phishing, para capacitar os funcionários a identificar e responder a essas ameaças de forma eficaz em situações reais.

Os usuários realmente estão reconhecendo e-mails de phishing?

Quando se realiza uma simulação de phishing, surge uma questão crucial: como assegurar que o colaborador está realmente reconhecendo os perigos associados a uma mensagem maliciosa? 

A maioria dos especialistas em conscientização em cibersegurança analisa a vulnerabilidade da empresa com base na taxa de cliques dos colaboradores em e-mails de phishing simulados — ou seja, analisando quantos usuários clicaram na mensagem maliciosa em relação ao total de usuários que receberam as fraudes simuladas.

Mas será que essa métrica é realmente eficaz? Seus usuários estão realmente reconhecendo as tentativas de phishing ou apenas adotando uma postura defensiva e preferindo não clicar em nada?

As taxas de cliques oferecem uma visão limitada do problema de phishing na sua organização. Elas fornecem apenas um ponto de vista — os colaboradores que clicaram — e não refletem o real comportamento de todos os usuários. 

Punição é a melhor saída?

Usuários que não caíram em uma fraude simulada não necessariamente reconheceram que se tratava de uma tentativa de phishing. Estudos mostram que apenas 3% dos usuários relatam e-mails de phishing à gestão, indicando que muitos colaboradores podem não estar cientes das tentativas de phishing ou, ainda, hesitam em reportá-las.

O treinamento tradicional de phishing pode acabar assustando os usuários, já que as mensagens geralmente chegam de surpresa, pegando-os desprevenidos. Com isso, eles podem ficar com receio de interagir com o treinamento, temendo punições, ou sentir-se envergonhados ao reportar uma mensagem que não era uma tentativa de phishing. Esse medo pode resultar em inação, fazendo com que os funcionários se desconectem do treinamento de segurança — e de outras iniciativas da empresa!

O treinamento “check the box”

Quando o treinamento de phishing adota uma abordagem de “check the box”, focando apenas em quem clicou ou não, a compreensão da conscientização sobre segurança fica comprometida. Essa perspectiva limitada não favorece uma postura de segurança resiliente, que exige usuários proativos e engajados.

E-mails de phishing variam em dificuldade, e o treinamento tradicional muitas vezes não considera essa variabilidade. Alguns e-mails são fáceis de identificar, enquanto outros são mais sofisticados. Sem entender por que um usuário caiu em uma fraude simulada e clicou no e-mail, não é possível abordar eficazmente as causas subjacentes.

Eles estavam inseguros sobre sinais específicos de phishing? Sentiram-se pressionados? Faltou compreensão sobre as possíveis consequências? Identificar os motivos específicos por trás das ações dos usuários é crucial para direcionar os esforços para o que realmente importa.

Hacker Rangers PhishOS: um jogo para conscientização sobre phishing

Diante desse cenário, a Hacker Rangers, referência em conscientização sobre segurança gamificada e cultura organizacional positiva, tem o prazer de apresentar sua mais recente inovação: Hacker Rangers PhishOS — um game inovador para treinamento de phishing!

Desenvolvido com base na Escala de Phishing da NIST, o PhishOS desafia os colaboradores a  distinguir e-mails legítimos de ameaças cibernéticas. 

Ao identificar um e-mail como phishing, o usuário precisa apontar as pistas específicas para ter julgado o e-mail como malicioso. Foi a sensação de urgência transmitida pelo e-mail? A ausência do logotipo da marca? Ou talvez informações insuficientes sobre o remetente? Cada um dos 36 indicadores do PhishOS foi cuidadosamente elaborado com base nos critérios delineados pela NIST como essenciais para detecção de phishing.

A importância do contexto: com gamificação, tudo é diversão!

O Hacker Rangers PhishOS transforma o treinamento de phishing em uma experiência envolvente, onde os usuários assumem o papel de um ciber-herói para ajudar um dos Rangers a identificar se um e-mail é uma tentativa de phishing ou não.

Colocando o treinamento em um contexto interativo e amigável, o PhishOS proporciona um ambiente controlado e projetado especificamente para fins educacionais. Essa abordagem reduz a ansiedade e incentiva os usuários a aplicar seu verdadeiro conhecimento sobre phishing, sem a pressão de sofrer consequências ruins por isso.

E quer saber a melhor parte? O game oferece uma compreensão abrangente das ações de todos usuários, já que eles precisam apontar o que identificaram como sinal de alerta. Isso garante uma análise mais profunda e completa da conscientização sobre phishing em sua organização, permitindo medir e analisar o comportamento dos colaboradores de maneira mais eficaz.

Superando desafios de uso de marcas

Com o PhishOS, sua organização pode contornar os desafios associados ao uso de marcas reais em simulações de phishing.

Em campanhas de phishing tradicionais, usar nomes de marcas reais é crucial para criar cenários realistas, mas também pode representar problemas significativos. Essas simulações podem inadvertidamente prejudicar a reputação de uma marca ou até mesmo infringir leis de marcas registradas.

O PhishOS supera esses desafios oferecendo um ambiente de simulação controlado. Ao incorporar simulações de phishing em um formato de jogo envolvente, os usuários entendem que o exercício é puramente educacional. Isso permite que você use nomes de marcas livremente, sem preocupações. 

Produção: Equipe de Conteúdo da Perallis Security

Alerta_Hor_TracoPantoneNeg