El Pescador: Conceitos fundamentais (módulo1)

Olá!

Este curso foi desenvolvido para ajudar nossos parceiros a se familiarizarem com as tecnologias de software e serviços da El Pescador.

O objetivo deste curso é Capacitar vendedores sobre os conceitos básicos do software El Pescador e suas principais funcionalidades.

Neste curso você vai:

SITUAÇÃO SOBRE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

Visão geral sobre segurança da informação e ataques phishing.

Testemunhamos uma revolução nas últimas duas décadas, a popularização da Internet mudou quase todas as relações humanas, sobretudo a maneira como a maioria das pessoas trabalham. Um funcionário de um escritório pauta suas atividades diárias e conduz seus projetos por meio da troca de mensagens. Dezenas delas chegam e são enviadas por dia. Esse número é multiplicado sensivelmente quando pensamos em todos os canais pelos quais uma pessoa pode receber mensagens, SMS, WhatsApp, redes sociais, fóruns… A lista não acaba e não acabará.

À medida que a tecnologia progride surgem novas soluções para os problemas do dia a dia, mais formas de se comunicar e mais maneiras de comprar e vender. Foram criadas as primeiras ameaças à segurança dos computadores, mas surgiram também diversas formas de proteger sistemas, criando camadas que dificultam ataques. Isso fez com que os atacantes apontassem as suas armas para o ator mais frágil da cadeia: as pessoas. Enganar as pessoas é algo tão antigo quanto a própria humanidade e hoje a técnica mais usada contra empresas e indivíduos é a do phishing. Nela as pessoas são “fisgadas” em golpes que são executados das mais variadas maneiras e com diversos níveis de sofisticação tecnológica.

Riscos

Os riscos associados a ataques phishing são inúmeros. Estes golpes geralmente são usados com os seguintes objetivos:

ROUBO

O objetivo mais comum do uso de phishing é o roubo; nesses casos os usuários são persuadidos a instalar softwares maliciosos,  chamados de malwares, ou acessar sites falsos que são preparados para coletar informações bancárias ou de cartão de crédito. Existem golpes em que os fraudadores não usam nenhum mecanismo sofisticado, somente truques para induzir o usuário. De posse destas informações os fraudadores realizam transferências ou compras.

SABOTAGEM

Alguns ataques usam o phishing com o objetivo de manipular um grande número de máquinas infectadas de forma coordenada, como um exército, contra alvos pré-determinados. Assim que o usuário instala o malware em seu computador, a máquina passa a realizar milhões de requisições por hora ao site alvo, que não suporta a demanda e deixa de responder.

EXTORSÃO

Ataques deste tipo, chamado de ransomware, estão cada vez mais populares. Neste caso a vítima é persuadida a instalar um malware que, assim que instalado, impede o acesso do usuário aos seus dados, seja no smartphone ou no computador. Para que o usuário retome seu acesso, o atacante pede um resgate em dinheiro.

ESPIONAGEM

Muitos governos entenderam que o phishing pode ser uma ferramenta poderosa para espionar inimigos, ou estabelecer vigilância em inimigos em potencial. A técnica também é usada por empresas que vendem serviços com esta finalidade.

MÚLTIPLAS FINALIDADES COMBINADAS

Existem redes – chamadas de botnets – que podem ser formadas por milhares de computadores infectados. As botnets operam no regime de aluguel e podem ser usadas com as mais variadas funções (roubar, enviar spam, sabotar sistemas, dentre outras). Um fraudador interessado em roubar dados de cartão de crédito mas que não possui experiência para criar o seu próprio phishing, por exemplo, entra em contato com o controlador da rede que a customiza para tal finalidade e a aluga por um tempo determinado.

O segmento "security awareness” (ou conscientização sobre segurança da informação).

Mas afinal, o que é "security awareness" ou conscientização sobre segurança da informação?

Estar consciente não significa necessariamente saber de cor e salteado todas as formas possíveis de ataque, mas ter o entendimento da importância da informação com a qual você lida diariamente, seja na esfera privada, seja no seu trabalho.

O software da El Pescador foi criado para ajudar as empresas a  educarem seus colaboradores (usuários) demonstrando as ameaças reais às quais estão expostos no ambiente de trabalho, e como essas ameaças podem comprometer informações, suas e da empresa, ao mesmo tempo que demonstramos como é possível reagir a essas ameaças.

Nosso objetivo não é criar pânico. Na verdade, queremos mostrar que é possível ter uma atitude mais segura, protegendo os dados corporativos através da conscientização dos usuários da rede. Isso reforça o elo mais fraco da segurança da informação (as pessoas) e transforma as equipes em verdadeiros “firewalls humanos”.

O Mercado de "security awareness"

Segundo o instituto de pesquisas Gartner, o mercado de conscientização de segurança da informação (security awareness) cresceu 54% entre 2015 e 2016. Nesta categoria, o mercado tem um tamanho estimado em USD 370 milhões e o mesmo instituto estima que este mercado chegue a USD 1,5 bilhão em 2021 com um crescimento muito agressivo de 45% ao ano entre 2016 e 2021.

Fonte: Gartner, 26 outubro 2017

Os desafios de despertar a participação ativa na segurança de uma corporação

Faça uma pesquisa sobre boas práticas de segurança da informação em empresas. É possível afirmar que uma boa parte delas – senão a maioria – irá considerar a conscientização de funcionários como um dos itens mais importantes. As pessoas são responsáveis pela informação e, como tal, devem estar “conscientes” do seu papel na proteção dessa informação.

Os maiores especialistas do mercado entendem que a conscientização é um processo que precede os treinamentos.

Diferentemente de um treinamento, em que o participante é convidado a ter um papel ativo, as atividades de conscientização servem para que a pessoa tenha contato com o tema da segurança e sua importância. São perenes, ou seja, são processos que devem ser constantemente avaliados e renovados.

A El Pescador busca ativamente criar essa consciência em seus programas de treinamento, expondo o colaborador a situações reais de ataque, de modo a fazê-lo perceber a importância de todos na segurança da empresa. Além disso, os conteúdos são constantemente revistos e atualizados de modo a refletir a realidade com a maior fidelidade possível.

Fonte: https://www.elpescador.com.br/blog/index.php/conscientizacao-em-seguranca-da-informacao-os-desafios-de-despertar-a-participacao-ativa-na-seguranca-de-uma-corporacao/

9 dicas para fazer o seu programa de conscientização funcionar

  1. Nunca informe os colaboradores da empresa sobre o disparo das simulações. Todos devem estar desprevenidos sobre as campanhas da El Pescador para que as simulações sejam realísticas como se fossem um ataque de phishing verdadeiro.
  2. Planeje a sua campanha de conscientização antes de executá-la. Considere quem deve participar, como você executará a campanha, defina um cronograma e selecione conteúdos relevantes que ajudaram na implementação.
  3. Avalie a possibilidade de fazer campanhas distintas para os diversos públicos da empresa. Por exemplo, a equipe de TI de um cliente pode ter uma campanha diferente da equipe de vendas. Considere, campanas personalizada para os executivos da empresa e para novos funcionários.
  4. Associe atividades presenciais, como treinamentos, jogos, palestras para reforçar a importância sobre a segurança na sua empresa.
  5. Capriche na comunicação interna. A criação de avisos, comunicados, pôsteres, apostilas e outros materiais informativos podem ajudar bastante a melhorar o conhecimento dos colaboradores sobre os perigos de ataques phishing. Seja criativo nos materiais.
  6. Considere a campanha de conscientização como um processo educativo e não de punição. Ensine ao invés de punir aqueles que se tornaram vítimas. Elogie, reconheça e premie os colaboradores que se destacam na campanha e que têm maior conhecimento sobre segurança da informação, utilizando estes mesmos funcionários para ajudar no processo de educação junto aos colegas com menos conhecimento.
  7. Utilize treinamentos online para ganhar em escala e atingir o maio número possível de colaboradores dentro da empresa.
  8. Não esqueça de fazer testes na sequência dos treinamentos on-line para que os colaboradores mostrem a evolução no aprendizado.
  9. Por fim, mas não menos importante, utilize indicadores de desempenho para poder medir a situação inicial e final. Faça o programa de conscientização se tornar algo recorrente no planejamento das atividades da empresa. Funcionários antigos precisam reciclar o conhecimento e funcionários novos precisam aprender para estarem nivelados com as expectativas e diretrizes corporativas do cliente.

3. SOBRE A EL PESCADOR (EMPRESA DO GRUPO TEMPEST SECURITY)

Quem somos

A El Pescador é a primeira plataforma para envio de phishing educativo no Brasil. É uma empresa do grupo Tempest Security Intelligence. Alguns fatos sobre o grupo Tempest:

•          Ano de fundação: 2000

•          Faturamento: R$ 100 milhões/ano

•          Escritórios: Recife, São Paulo, Londres

•          Funcionários: 280

•          Clientes: mais de 250 clientes ativos no Brasil, Inglaterra, Suíça, Estados Unidos e América Latina.

•          Em 2016, investimento de R$ 28,2 milhões do Fundo Aeroespacial (FIP)

•          El Pescador: Líder de mercado “Security Awareness” no Brasil

•          Tempest: British Brazilian Awards 2017

Mais sobre a El Pescador e Grupo Tempest:

www.elpescador.com.br

www.tempest.com.br


O que fazemos

A El Pescador fornece um software e plataforma de gerenciamento (SaaS) para testes, conscientização e treinamento de segurança da informação para clientes corporativos.

Como fazemos

Com o software da El Pescador você terá as ferramentas necessárias para reforçar o elo mais fraco da segurança da informação. Estimule uma mudança de cultura por meio da conscientização sem necessidade de instalar software na sua rede. Tudo em nuvem.

O software da El Pescador simula ataques customizáveis em diversos meios. O software foi projetado para que você explore técnicas de engenharia social. Utilize centenas de modelos, que podem ser personalizados, para aguçar a curiosidade das “vítimas”. Quanto mais usuários fisgados, mais usuários treinados.

Através do dashboard é possível acompanhar o andamento da campanha e todas as métricas relacionadas. Configure o software para receber notificações sobre a campanha, identificar os usuários que realizaram ou não o treinamento, dados estatísticos, entre outros.

Nosso público alvo

O público alvo da El Pescador são clientes corporativos de todos os tamanhos. Empresas que tenham preocupação sobre segurança da informação e queiram preparar melhor seus executivos e colaboradores para que eles não sejam fisgados por ataques reais de phishing.

DESCRIÇÃO GERAL DO SOFTWARE EL PESCADOR

Resumo

A El Pescador é a primeira plataforma para envio de phishing educativo do Brasil. A El Pescador promove a capacitação de colaboradores sobre ataques através de e-mails maliciosos por meio da ferramenta de educação virtual.

Em detalhes

El Pescador é a primeira plataforma de software online para envio de phishing educativo no Brasil. Com esta solução empresas podem realizar campanhas/simulações reais de e-mails maliciosos com o intuito de educar os usuários sobre este tipo de ataque e fazer com que eles mudem seu comportamento diante de situações envolvendo phishing.

Quando um usuário é fisgado por uma campanha, ele é direcionado para um treinamento on-line onde aprende a reconhecer este tipo de ataque. A El Pescador oferece diversos tipos de treinamentos, incluindo o treinamento base sobre phishing e treinamentos específicos para os departamentos da empresa: financeiro, recursos humanos e diretoria.

As engenharias utilizadas nas campanhas são elaboradas pela a nossa equipe de especializada em phishing e engenharia social.

Após o treinamento, o usuário é encaminhado para um quiz, que vai testar os conhecimentos adquiridos. Tanto o quiz, quando o treinamento pode ser refeito pelo usuário quantas vezes for necessário.

Através do dashboard do El Pescador, a empresa pode criar grupos que receberão as campanhas, programar datas de envios, acompanhar o andamento de cada campanha e todas as métricas relacionadas, como:

  • Quem clicou e visualizou o e-mail malicioso;
  • Quais dispositivos mobile e desktop interagiram com a campanha;
  • Quais usuários são mais suscetíveis a clicar em links maliciosos;
  • Quais usuários realizaram (ou não) o treinamento;
  • Usuários que apresentaram versões de navegadores web e plugins (flash e java) desatualizados;
  • Notas obtidas por cada usuário que realizou o quiz.

BENEFÍCIOS DO SOFTWARE EL PESCADOR

Benefícios

Estes são os principais benefícios que o software da El Pescador pode proporcionar aos seus clientes:

  • Potencializar a segurança: Testar a resiliência do anti-spam e proteções de anti-phishing dentro de um ambiente corporativo.
  • Aumentar habilidades: Educar pessoas sobre como se apresentam ameaças de phishing e ensiná-las a reagir diante de uma mensagem fraudulenta.
  • Avaliação contínua: Campanhas realizadas com frequência melhoram o
  • comportamento corporativo e reduzem o risco de ataques.
  • Promover o conhecimento: Mostrar que existem ameaças reais no ambiente digital e como estes riscos podem comprometer essas informações.
  • Client Side seguro: Reduz o risco sobre ataques de client side, identificando versões desatualizadas de navegadores web e seus plugins.

TERMOS MAIS UTILIZADOS

Phishing

O termo “phishing” é uma corruptela da palavra em inglês “fishing”, que significa pescar, misturada com o termo “phreak” (de “freak”, ou aberração), frequentemente usado para nomear os primeiros hackers de telefonia. Por phishing podemos entender qualquer tipo de golpe que usa mecanismos tecnológicos, geralmente baseados em mensagens, para persuadir as pessoas a entregarem ao atacante algo de seu interesse.

Smishing

Vishing

Phishing físico (correspondência)

Candy drop

Domínios customizáveis

Mouse malicioso

Campanhas/simulações

Oportunidade de medir a maturidade da equipe quanto ao assunto phishing pelo envio de simulação de e-mail fraudulento + oportunidade de conscientizar as vítimas.

Campanhas/Simulações baseadas em modelos (templates)

Campanha de phishing que pode ser escolhida entre as opções e modelos apresentados pela El Pescador. Estas simulações não oferecem engenharias pensadas sob medida para o cliente mas garante, ainda assim, pelo menos dois dos processos a seguir, a depender das necessidades de cada cliente, sempre tendo dois momentos principais: SIMULAÇÃO DE ATAQUE TEMPLATEADA + OPORTUNIDADE DE TREINAMENTO PADRÃO (informativo ou comunicado).

Simulações de Phishing

Por meio de simulações customizadas, nossa equipe envia e-mails maliciosos para testar as equipes usuárias da rede. Os colaboradores fisgados são direcionados a diferentes perfis de treinamentos para aprender a reconhecer esse tipo de golpe.

Treinamentos

Domínios customizáveis

Relatórios

Banners e pôsteres educativos

TIPOS DE CAMPANHAS

Click-Only

Coleta de Informação

Anexo

Relação e Confiança

Malware Delivery

Data Leaks

Personalizada

Direcionada

PRODUTOS EL PESCADOR

Tabela comparativa de produtos

O software da El Pescador está disponível em 4 modalidades: Demo, Small Business, Medium Business, VIP. Cada uma das modalidades oferece um grupo diferente de funcionalidades de software conforme demonstrado na tabela abaixo:

PLANEJAMENTO DE CAMPANHAS EL PESCADOR

Melhores práticas para o Planejamento da Campanhas

Ajude seu cliente a entender, planejar e documentar cada uma das ações abaixo listadas antes do lançamento de uma campanha de conscientização El Pescador:

  • Ajustar o ambiente de TI para o sucesso dos disparos. Veja no próximo tópico como isso deve ser feito.
  • Definir os objetivos da campanha: deserver de 3 a 5 objetivos para a campanha de conscientização. Os objetivos precisam ser específicos, mensuráveis e compatíveis com os recursos alocados para o projeto.
  • Envolver departamentos: RH e Marketing podem ser grandes aliados na implementação. Não esquecer que a comunicação interna é essencial para o sucesso da iniciativa.
  • Envolver as pessoas certas. Pensar naquelas que poderiam ajudar formando um “comitê de segurança da informação”.
  • Considerar o número de campanhas que que serão usadas. Considere diversos cenários caso tenha apenas uma campanha ou um ciclo educativo completo (com 12 campanhas ou mais). 
  • Definir um cronograma.
  • Definir o público alvo e eventual customização da campanha para cada público.  Responda às perguntas:
    • Vou disparar apenas uma campanha? Ou tenha diversas campanhas para disparar ao longo do tempo? 
    • O disparo será feito para todos os funcionários e executivos independentemente de nível hierárquico ou departamento?
    • Quem sãos os maiores alvos? Onde estão as informações mais importantes da nossa empresa? Quem são os executivos e colaboradores que têm acesso a tais informações? 
    • Devo considerar um tratamento especial para os executivos da empresa? Preciso de um programa de conscientização e treinamento especifico para eles?
  • Definir cenários: 
    • Se a sua empresa tiver um alto índice de vitimas, o que isso significaria? 
    • Por outro lado, se a sua empresa tiver um baixo índice de vítimas, quais seriam as conclusões? 
    • Nestes dois cenários, quais serão as atividades a serem executadas antes, durante e depois da campanha?
  • Analisar os resultados das campanhas e perfil das vítimas que foram fisgadas.
  • Analisar os resultados dos treinamentos.
  • Planejar os próximos passos e manutenção das campanhas.

Requisitos técnicos

Antes de disparar as simulações da El Pescador é importante que o seu ambiente tecnológico  seja devidamente preparado para isso. Lembre-se que a El Pescador não é uma ferramenta para testar o seu antispam, proteções de borda, core ou endpoints. O objetivo aqui é conscientiza os usuários e direcioná-los para treinamentos e conteúdos que ajudem a melhora a cultura interna sobre segurança da informação e ataquem phishing.

Portanto, antes de disparar as simulações, considere:

  1. Registrar o domínio MNP.COM.BR caso você tenha uma campanha Data Leak ou...
  2. Liberar o domínio MNP.COM.BR no seu filtro web com as seguintes regras....
  3. Librar as portas ABC dos firewalls  com as seguintes regras...
  4. Configurar seu antispam sobre os domínio XYZ com as seguintes regras...

CONSOLE DE GERENCIAMENTO EL PESCADOR (VISÃO GERAL)

Dashboard da conta

Dashboard da campanha

Relatório de vítimas

Modal de vítimas

SERVIÇOS ESPECIAIS EL PESCADOR

Security Day

Game Show: Desafio El Pescador Desafio El Pescador

Phishing Show

Material informativo e Educativo

Cotação e orçamento de serviços especiais

ESTUDOS DE CASO

Cliente 1

Cliente 2

Cliente 3

AVALIAÇÃO DO CONHECIMENTO E APRENDIZADO

Pergunta: Situação sobre segurança da informação nas empresas

  • É um sistema de circuito fechado de TV (CFTV) que permite monitorar a atividade dos funcionários.
  • É um programa educativo que envolve processos, software e pessoas para melhorar o conhecimento dos executivos e colaboradores de uma empresa sobre os perigos dos ataques phishing.
  • É o mesmo que software anti-spam.
  • É o mesmo que software anti-vírus.
  • Nenhuma das anteriores.

Pergunta: Sobre a El Pescador (Empresa do Grupo Tempest Security)

A El Pescador é:

  • Uma pequena empresa que está buscando qualquer tipo de cliente nos segmentos B2C e B2B.
  • Uma empresa consolidada, especializada em segurança da informação que oferece uma plataforma de software como serviço para educar colaboradores de empresas sobre os perigos dos ataques phishing.

Pergunta: Descrição Geral do Software El Pescador

O software El Pescador pode ajudar seus clientes a:

  • Configurar o firewall automaticamente.
  • Testar o seu antispam para garantir que as ameaças mais perigosas sejam bloqueadas.
  • Educar e treinar os usuários da rede corporativa sobre os perigos de ataques phishing.
  • Complementar a proteção do antivírus com uma tecnologia inovadora de proteção avançada baseada em inteligência artificial (IA).
  • Gerenciar as impressoras da rede para garantir que a tinta nunca acabe.

Pergunta: Benefícios do Software El Pescador

Um dos maiores benefícios do software El Pescador é aumentar as habilidades educando os colaboradores sobre como se apresentam ameaças de phishing e ensiná-los a reagir diante de uma mensagem fraudulenta.

  • Verdadeiro
  • Falso

Pergunta: Descrição dos Termos Mais Utilizados

  • Simulações ou Campanhas
  • Phishing
  • Vishing
  • Engenharia social
  • Fórmulas automáticas de planilhas

Pergunta: Tipos de Campanhas

Uma campanha, também chamada de simulação,  permite ao gestor de segurança/TI enviar um email que vai testar o conhecimento dos usuários corporativos sobre os ataques digitais e perigos que podem chegar através de e-mails.

  • Falso
  • Verdadeiro

Pergunta: Produtos El Pescador

A El Pescador disponibiliza apenas um produto que é ideal para empresas pequenas de até 10 funcionários.

  • Falso
  • Verdadeiro

Pergunta: Planejamento de Campanhas El Pescador

Antes de lançar uma simulação ou campanha da El Pescador é importante:

  • Fazer um planejamento da campanha.
  • Garantir que as configurações do ambiente de TI estejam configuradas para o sucesso da campanha.
  • Nenhuma das anteriores.

Pergunta: Console de gerenciamento El Pescador

  • Coloque sua opção de resposta aqui
  • Coloque sua opção de resposta aqui

Pergunta: Serviços Especiais El Pescador

  • Coloque sua opção de resposta aqui
  • Coloque sua opção de resposta aqui