As simulações tradicionais de phishing estão te enganando: por que métricas de taxas de cliques são insuficientes?
As simulações tradicionais de phishing não revelam o verdadeiro nível de preparo da sua empresa. Descubra por que a contagem de cliques é insuficiente e como o PhishOS ajuda a medir, de fato, a capacidade dos colaboradores de identificar e reagir a ataques de engenharia social.
As simulações tradicionais de phishing não revelam o verdadeiro nível de preparo da sua empresa. Descubra por que a contagem de cliques é insuficiente e como o PhishOS ajuda a medir, de fato, a capacidade dos colaboradores de identificar e reagir a ataques de engenharia social.
Seja apenas por compliance ou por uma preocupação por cibersegurança, todos já nos deparamos com uma simulação tradicional de phishing. Aquele tradicional e-mail anunciando uma promoção ou com uma mensagem alarmante, pode trazer diversas consequências para empresas e instituições.
Porém, o que poucos reconhecem é que as simulações tradicionais de phishing já não são tão eficazes, e raramente medem o que realmente importa. Ao invés de conscientização, as simulações tradicionais trazem métricas pouco relevantes e causam medo, desmotivação e até danos à reputação de empresas e instituições.
Quando o “treinamento” vira problema
Um caso emblemático sobre como simulações de phishing tradicionais podem afetar negativamente as instituições ocorreu em 2023. Uma universidade na Califórnia, realizou um teste de phishing em que o assunto do e-mail era: “Notificação de Emergência: Caso de Ebola no Campus”. O e-mail, que não passava de um teste, deixou alunos e funcionários em pânico. E a que custo?
O problema das métricas tradicionais
Em testes tradicionais de phishing, as métricas apenas revelam os usuários que clicaram e os usuários que não clicaram no e-mail de phishing. Porém, essa métrica sozinha abre margem para uma miríade de dúvidas, questionamentos e possibilidades.
Uma taxa alta de usuários que não clicaram no phishing, não necessariamente quer dizer que a organização está segura por tabela. É possível que os funcionários de uma empresa estejam tão atarefados que nem tiveram tempo de clicar na mensagem, um grupo de funcionários ficou sabendo que o e-mail de phishing seria disparado, ou então a temática utilizada na simulação de phishing não era do interesse do usuário.
Como exemplo disso, a Google passou em anos recentes a não aplicar mais os testes tradicionais de phishing. No seu blog oficial, a big tech anuncia e explica os motivos por trás da decisão: “Educar os funcionários sobre como alertar as equipes de segurança sobre ataques em andamento continua sendo um complemento valioso e essencial para uma postura holística de segurança. No entanto, não há necessidade de tornar isso um ato de confronto, e não ganhamos nada ‘pegando’ pessoas ‘falhando’ na tarefa” (diz a empresa no texto chamado “On Fire Drills and Phishing Tests”).
A raiz do problema
A raiz deste problema, de acordo com o fundador e CEO da Hacker Rangers Vinicius Perallis, está no afastamento da intenção principal das simulações de phishing que é medir o nível de proteção de uma empresa contra ataques de engenharia social. Empresas e instituições começaram a usar simulações de phishing para conscientizar colaboradores. “Uma grande confusão que se tem é que a simulação de phishing e-mail é usada para um propósito muito diferente do que o propósito para o qual ele nasceu e deveria se encaixar”, pontua Vinícius no Hacker Rangers Podcast.
A evolução: NIST Phish Scale
Pensando em todo esse cenário de questionamento dos métodos mais tradicionais de aplicações de phishing. O National Institute of Standards and Technology (NIST) publicou em 2023, o guia NIST Phish Scaleque traz orientações sobre como reconhecer sinais de que um e-mail é um phishing. O documento da NIST lista 23 tipos de sinais a serem verificados frente à um e-mail suspeito.
PhishOS: a nova geração de simulações de phishing
E com tudo isso em mente, a Hacker Rangers criou o game PhishOS, um simulador de phishing pensado inteiramente com base na NIST Phish Scale, e pensado para ir além da mera contagem de cliques. No PhishOS, os jogadores devem explicitar o porquê do e-mail ser ou não uma mensagem de phishing, onde existem 34 possíveis cenários a serem identificados pelos usuários.
Com PhishOS, cada simulação se transforma em um momento de educação prática. Os colaboradores aprendem a reconhecer sinais de perigo em um ambiente seguro, enquanto gestores ganham métricas precisas sobre o comportamento e a evolução da equipe.
Está na hora de deixar para trás as simulações ultrapassadas e adotar uma abordagem que realmente transforma comportamento.Com o PhishOS, você evolui de simples “contagem de cliques” para uma estratégia inteligente, educativa e engajadora. Teste o PhishOS por 30 dias gratuitos e descubra como transformar simulações em resultados reais para sua empresa.
