O PhishOS é um game para treinamento de phishing que desafia seus colaboradores a identificar e-mails maliciosos em um ambiente controlado e interativo; transforme suas campanhas de simulação de phishing e avalie com precisão as habilidades reais dos seus usuários na detecção de e-mails maliciosos.
Phishing… ainda é um problema?
As mensagens de phishing continuam sendo uma das principais ameaças à segurança para organizações em todo o mundo. Sendo o vetor de ataque mais prevalente hoje, o phishing gera bilhões em custos para as empresas todos os anos.
Apesar dos avanços em tecnologias de proteção e filtros de e-mail, essas medidas não são infalíveis e não conseguem bloquear todas as tentativas de phishing. Com isso, os seus colaboradores se tornam a linha de defesa final contra os ciberataques.
Reconhecendo isso, muitas organizações enfatizam a importância do treinamento em conscientização sobre segurança, com foco no phishing, para capacitar os funcionários a identificar e responder a essas ameaças de forma eficaz em situações reais.
Os usuários realmente estão reconhecendo e-mails de phishing?
Quando se realiza uma simulação de phishing, surge uma questão crucial: como assegurar que o colaborador está realmente reconhecendo os perigos associados a uma mensagem maliciosa?
A maioria dos especialistas em conscientização em cibersegurança analisa a vulnerabilidade da empresa com base na taxa de cliques dos colaboradores em e-mails de phishing simulados — ou seja, analisando quantos usuários clicaram na mensagem maliciosa em relação ao total de usuários que receberam as fraudes simuladas.
Mas será que essa métrica é realmente eficaz? Seus usuários estão realmente reconhecendo as tentativas de phishing ou apenas adotando uma postura defensiva e preferindo não clicar em nada?
As taxas de cliques oferecem uma visão limitada do problema de phishing na sua organização. Elas fornecem apenas um ponto de vista — os colaboradores que clicaram — e não refletem o real comportamento de todos os usuários.
Punição é a melhor saída?
Usuários que não caíram em uma fraude simulada não necessariamente reconheceram que se tratava de uma tentativa de phishing. Estudos mostram que apenas 3% dos usuários relatam e-mails de phishing à gestão, indicando que muitos colaboradores podem não estar cientes das tentativas de phishing ou, ainda, hesitam em reportá-las.
O treinamento tradicional de phishing pode acabar assustando os usuários, já que as mensagens geralmente chegam de surpresa, pegando-os desprevenidos. Com isso, eles podem ficar com receio de interagir com o treinamento, temendo punições, ou sentir-se envergonhados ao reportar uma mensagem que não era uma tentativa de phishing. Esse medo pode resultar em inação, fazendo com que os funcionários se desconectem do treinamento de segurança — e de outras iniciativas da empresa!
O treinamento “check the box”
Quando o treinamento de phishing adota uma abordagem de “check the box”, focando apenas em quem clicou ou não, a compreensão da conscientização sobre segurança fica comprometida. Essa perspectiva limitada não favorece uma postura de segurança resiliente, que exige usuários proativos e engajados.
E-mails de phishing variam em dificuldade, e o treinamento tradicional muitas vezes não considera essa variabilidade. Alguns e-mails são fáceis de identificar, enquanto outros são mais sofisticados. Sem entender por que um usuário caiu em uma fraude simulada e clicou no e-mail, não é possível abordar eficazmente as causas subjacentes.
Eles estavam inseguros sobre sinais específicos de phishing? Sentiram-se pressionados? Faltou compreensão sobre as possíveis consequências? Identificar os motivos específicos por trás das ações dos usuários é crucial para direcionar os esforços para o que realmente importa.
Hacker Rangers PhishOS: um jogo para conscientização sobre phishing
Diante desse cenário, a Hacker Rangers, referência em conscientização sobre segurança gamificada e cultura organizacional positiva, tem o prazer de apresentar sua mais recente inovação: Hacker Rangers PhishOS — um game inovador para treinamento de phishing!
Desenvolvido com base na Escala de Phishing da NIST, o PhishOS desafia os colaboradores a distinguir e-mails legítimos de ameaças cibernéticas.
Ao identificar um e-mail como phishing, o usuário precisa apontar as pistas específicas para ter julgado o e-mail como malicioso. Foi a sensação de urgência transmitida pelo e-mail? A ausência do logotipo da marca? Ou talvez informações insuficientes sobre o remetente? Cada um dos 36 indicadores do PhishOS foi cuidadosamente elaborado com base nos critérios delineados pela NIST como essenciais para detecção de phishing.
A importância do contexto: com gamificação, tudo é diversão!
O Hacker Rangers PhishOS transforma o treinamento de phishing em uma experiência envolvente, onde os usuários assumem o papel de um ciber-herói para ajudar um dos Rangers a identificar se um e-mail é uma tentativa de phishing ou não.
Colocando o treinamento em um contexto interativo e amigável, o PhishOS proporciona um ambiente controlado e projetado especificamente para fins educacionais. Essa abordagem reduz a ansiedade e incentiva os usuários a aplicar seu verdadeiro conhecimento sobre phishing, sem a pressão de sofrer consequências ruins por isso.
E quer saber a melhor parte? O game oferece uma compreensão abrangente das ações de todos usuários, já que eles precisam apontar o que identificaram como sinal de alerta. Isso garante uma análise mais profunda e completa da conscientização sobre phishing em sua organização, permitindo medir e analisar o comportamento dos colaboradores de maneira mais eficaz.
Superando desafios de uso de marcas
Com o PhishOS, sua organização pode contornar os desafios associados ao uso de marcas reais em simulações de phishing.
Em campanhas de phishing tradicionais, usar nomes de marcas reais é crucial para criar cenários realistas, mas também pode representar problemas significativos. Essas simulações podem inadvertidamente prejudicar a reputação de uma marca ou até mesmo infringir leis de marcas registradas.
O PhishOS supera esses desafios oferecendo um ambiente de simulação controlado. Ao incorporar simulações de phishing em um formato de jogo envolvente, os usuários entendem que o exercício é puramente educacional. Isso permite que você use nomes de marcas livremente, sem preocupações.
