Crédito CC0:domínio público
Milhares de estudantes universitários e funcionários alvos de esquemas de phishing de e-mail este ano morderam a isca. Felizmente, eles não foram enganados por golpistas reais, mas por suas próprias escolas - em simulações destinadas a torná-los mais hábeis em detectar ameaças reais.
Quando a Ohio State University fez seu primeiro phishing focado no aluno em janeiro - uma estratégia também usada no mundo corporativo - mais de 18% dos destinatários clicaram. A campanha de conscientização de phishing focada em funcionários da University of Alabama at Birmingham atraiu mais de 7, 000 pessoas em março, ou cerca de um quarto dos destinatários.
Ezequiel Herrera, segundo ano do estado de Ohio, que se orgulha de responder rapidamente às mensagens, foi pego de surpresa duas vezes por e-mails de phishing falsos. A primeira vez, ele disse, ele se sentia orgulhoso de sua escola estar realizando esse tipo de ação educacional. A segunda vez o deixou frustrado.
"Eu estava tipo, 'Uau, Estou realmente, muito ruim, '' Herrera, 19, disse com um sorriso. Desde então, ele disse, ele se tornou mais cauteloso ao ler e-mails de remetentes desconhecidos.
As falsas mensagens de phishing imitam e-mails sobre ajuda financeira, feriados, redefinir senhas ou outros tópicos, mas contêm sinais de possível fraude, como saudações genéricas, pedidos de ação ou informação urgente, erros de ortografia, e remetentes de nomes de domínio desconhecidos. Os destinatários que clicam em links nos e-mails são redirecionados para dicas sobre bons hábitos de segurança cibernética e como identificar e relatar tentativas reais de roubo de senhas ou outras informações confidenciais.
"Uma simulação de phishing ajuda as pessoas a entender o papel que desempenham no gerenciamento da segurança - que não depende do suporte de TI, do help desk ou de quem quer que seja que elas podem acompanhar cegamente, "disse Helen Patton, Diretor de segurança da informação do estado de Ohio. "Muito do que torna uma organização segura é o que acontece entre um indivíduo e seu teclado ou telefone."
Patton fala sobre isso como uma vacinação digital, ajudando a proteger os indivíduos e a comunidade mais ampla do campus contra ataques cibernéticos que podem custar muito mais do que as simulações de phishing.
No mês passado, Os promotores dos EUA acusaram um grupo de iranianos de hackear os sistemas de computador de cerca de 320 universidades nos EUA e no exterior para roubar bilhões de dólares em pesquisas científicas e de engenharia que foram usadas pelo governo ou vendidas com fins lucrativos. Os promotores disseram que os e-mails de spear-phishing foram usados para atingir mais de 100, 000 professores, mas eles não identificaram publicamente esses indivíduos ou suas escolas.
O estado de Ohio usa simulações de phishing para funcionários desde 2016. As autoridades não divulgam resultados exatos por razões de segurança, mas dizem que as respostas melhoraram desde as primeiras rodadas, quando, por exemplo, uma mensagem sobre uma impressora no segundo andar foi clicada por pessoas em instalações que nem mesmo tinham um segundo andar.
Em uma pressa, cultura dependente de tecnologia em que tantas pessoas trocam tantas informações ao seu alcance em smartphones e outros dispositivos, Patton disse, a batalha está fazendo com que as pessoas diminuam o ritmo.
O prático, o treinamento experimental de phishing falso provou ser mais eficaz do que apresentações de slides, webinars ou outros tipos comuns de treinamento que podem ficar obsoletos, disse Joanna Grama, que dirige o programa de segurança cibernética na associação de tecnologia de ensino superior EDUCAUSE.
O risco, claro, é que as pessoas vão se sentir enganadas, por isso é importante que o treinamento seja educacional, não punitivo, Grama disse.
No Alabama-Birmingham, um membro do corpo docente condenou a simulação de phishing como uma perda de tempo, mas a maioria das respostas foram positivas, disse Curt Carver, o vice-presidente de tecnologia da informação da universidade, que se lembra de ter ouvido falar pela primeira vez sobre o conceito de self-phishing há mais de uma década.
Algumas pessoas relatam as mensagens como suspeitas, e outros enviam respostas como "Ha, você me pegou! "ou" Não me entendeu desta vez! "Alguns, ele disse, manifestou interesse em torná-lo mais parecido com um jogo, querendo avaliar o quão bem eles detectam ataques de phishing em comparação com outros.
"Eles perceberam ... que podem ser heróis, eles podem ser uma pessoa que ajuda a proteger todos os outros, "Carver disse.
© 2018 Associated Press. Todos os direitos reservados.