O phishing continua sendo uma das principais ameaças à segurança cibernética global, com empresas sofrendo bilhões de dólares em prejuízos a cada ano. Dados da Kaspersky de 2023 apontam que, só no Brasil, foram registrados 134 milhões de tentativas de phishing no período de um ano. Pensando nisso, a Hacker Rangers desenvolveu o PhishOS, um game que promete elevar o nível de conscientização em segurança cibernética de maneira inovadora e envolvente.
Embora tecnologias avançadas e filtros de e-mail ofereçam uma certa camada de proteção, a defesa mais eficaz contra ataques de engenharia social ainda é o usuário consciente e bem treinado.
A importância do contexto e de uma dose de gamificação
O PhishOS foi inteiramente criado com base na Escala de Phishing do NIST, um padrão rigoroso que define as melhores práticas para treinamento e detecção de ameaças de phishing.
No jogo, os usuários assumem o papel de um especialista em cibersegurança e precisam identificar se um e-mail é malicioso ou não. Quando apontar um e-mail como malicioso, eles precisam determinar os sinais específicos que os levaram a classificar a mensagem como phishing: um gatilho de urgência, a ausência de um logotipo, inconsistências ao longo da mensagem, dentre outros. São 36 indicadores possíveis no PhishOS, criados com base nos critérios apontados pelo NIST como fundamentais para reconhecer e-mails de phishing. Para cada acerto, os colaboradores são recompensados com pontos ao longo do jogo, incentivando-os a aprimorar suas habilidades em detectar e-mails maliciosos.
“A maioria dos treinamentos de phishing hoje em dia opera de forma passiva, contabilizando apenas cliques ou não cliques. No entanto, o fato de um usuário não clicar em um e-mail de phishing não significa necessariamente que ele reconheceu o perigo. Muitos colaboradores, por receio de punição, acabam não se engajando nem no treinamento nem em outras iniciativas da empresa, e simplesmente adotam a postura de não interagir ”, explica Vinicius Perallis, CEO da Hacker Rangers.
O especialista em cibersegurança destaca que as taxas de cliques e não cliques oferecem apenas uma visão parcial do problema de phishing dentro da organização, já que podem não transparecer o comportamento real dos usuários. Estudos mostram que apenas 3% dos funcionários relatam e-mails de phishing à sua gestão.
“Com o PhishOS, oferecemos um contexto gamificado ao treinamento de phishing, transformando-o em uma experiência lúdica e educativa, onde os colaboradores podem aplicar seus conhecimentos em um ambiente seguro e controlado, sem medo”, afirma Perallis.
Se por um lado o jogo empodera o colaborador, por outro também oferece uma análise detalhada do comportamento dele para o gestor, permitindo que ele avalie se o usuário realmente identificou os sinais de fraude no phishing simulado. Essa abordagem proporciona uma visão mais ampla e concreta da conscientização sobre phishing na organização, permitindo que os gestores de segurança ajustem seus treinamentos para atender às necessidades reais dos funcionários.
Com o PhishOS, também é possível superar os desafios relacionados ao uso indiscriminado de marcas de terceiros. Por exemplo, em treinamentos de capacitação contra phishing é comum utilizar o nome de marcas reais para testar o colaborador, o que pode causar danos à reputação da marca ou violar leis de propriedade intelectual. O PhishOS cria um ambiente seguro, onde o uso de nomes é realizado de maneira responsável, com fins puramente educativos, evitando riscos como esses.