BSides SP 2025 - Simulações de Phishing: como elas podem estar comprometendo a cult. seg. da empresa

Eu

vou chutar que seja de fone, de telefone, fone não. Chutei errado. Passou perto, viu? Mas não é não, não é fishing de pescar o ficha do fish, mas o o pH não pesc no chat de GPT não, né? Não tem problema também. É de freak. É frireing, tá? Vem da onde veio os primeiros hackings, tá? E aí fizeram pegaram o T Fish de pescar com fone freaking e aí é o pH dele, tá bom? Então, pequenas curiosidades. A gente fala tanto, tanto de fishing, né? Às vezes a gente não sabe o que significa esse pHzinho aí junto. Deixa esperar mais um minutinho para começar. Pode começar. Pode começar já. Eh, pessoal, primeiro aqui uma pequena pergunta.

Quantos de vocês aqui está trabalhando diretamente, ou parcialmente pelo menos com pessoas, conscientizando pessoas, tá? Segunda pergunta, quanto de vocês rodam simulação de fishing paraos seus usuários? Certo? Quantos de vocês ouviram uma carta pública da Google, do diretor de segurança, de cybersegurança da Google, que a Google não mais pratica? e a Boliu campanhas de fishing dentro da Google. Quem já leu isso? Tá bom. Então é só uma pequena pesquisa aqui para para o contexto nosso. Pessoal, a gente vai começar agora aqui, ó. Vai ser um pequeno eh vídeo para vocês de 4 minutos do Theo Office. Acho que a maioria de vocês aqui já assistiu alguma coisa do Theo Office. Então vai ser um pouquinho do nosso enredo que a

gente vai conversar aqui. Então vou soltar o vídeo para vocês agora.

Eh, alguém já conhecia esse episódio aqui do já. a gente se vaiar nele para fazer algumas reflexões juntos aqui com simulação de fishing. Aí eu quero também a participação de vocês. Mas a primeira pergunta aqui para vocês, tá? Pensarem apenas eh quais que foram os efeitos colaterais da simulação de incêndio do do White. Então fica, né, sua reflexão o que que ele que que aconteceu com ele tentando fazer uma coisa pro bem, mas tem muito efeito colateral. Então é um pouquinho que a gente vai refletir junto aqui sobre simulações de fishing, tá bom? Eh, quando fiz essa pergunta para vocês, se alguém você eh ouviu que a Google não faz mais, eh, proibiu fazer, né, decidiu

não fazer mais simulações de fishing e aí ele falou por tá o gerente de segurança da Google. E como essas big texness lançam tendências, na verdade a gente sempre combatia, mas é importante vozes maiores. Eu estava esse em março no NSA, que é o National Cyber Security Alliance, foi na Flórida, em Orlando. E aí teve muito embate, muita gente falando sobre esse lance da Google e muitas empresas não fazendo mais. Mas basicamente o grande motivo é porque ela viu que não tava mais surtindo efeito, ninguém estava aprendendo nada com simulações de fishing, tá? ponto final. E a hora que ela viu isso, ela foi se basear. Ele pegou dois dados nesse paper, o link dele tá aqui para vocês,

tá? Mas vocês podem até buscar no Google. Ele pegou uma pesquisa, eu vou falar um pouquinho mais sobre a pesquisa da faculdade de da uma faculdade importantíssima da Suíça, que ela fez com mais de 50.000 usuários, mais de 14.000 pessoas participaram desse teste, foram 15 meses de simulações de fishing, oito campanhas de fishing. Ela mostrou que quanto mais fazia os usuários não só era ineficaz, mas como eles ficaram pior em reconhecer fishing, tá? E também ele se baseou em indústrias mais maduras, tá? Ele se baseou na indústria, por exemplo, de combate a incêndio, que não se faz mais de surpresa, mas faz-se avisando, criando ambientes simulados, tá? Então, tá aqui o link da Google, tá?

Aonde ela se manifesta aqui e o link da pesquisa também, tá? Então fique, é uma pesquisa científica, tem, se não me engano, mais de 50 páginas. O paper ele é público. Seria muito legal para vocês lerem para acompanhar todos os detalhes. Alguém conhecia essa pesquisa? Se não conhecia lance da Google, mais ou menos. E eu foi engraçado, né? Porque quando você começa um estudo, você tem uma expectativa. A expectativa é que as pessoas iam sabendo mais, né? Olha, cai uma vez, logo a segunda vou ficar mais esperto, né? E era o contrário. Mas olha que engraçado, né? Se a gente fizer uma analogia com com um quadro que eu vou mostrar para vocês abaixo, se for ver, é

óbvio, porque elas ficam piores em reconhecer fichem, tá? Imagine que você tá fazendo na sua empresa soltando um alarme de incêndio, aí você solta uma vez, aí o pessoal desce, faz o procedimento, aí faz a segunda vez, aí o pessoal começa a se perguntar: "Puxa, mas é real, né? Eu tenho que descer mesmo?" Então ele vai ficando pior, tá? O senso de urgência dando a importância, ele acaba baixando a guarda, tá? Então se a gente for pensar, tem muito sentido essa pesquisa ter constatado isso, tá bom? Agora você imagine que é só uma reflexão, tá? ponto pra gente refletirmos junto. Imagine que você soltasse a sirene, tá, no alarme de incêndio e aí você tinha uma missão de

fazer o procedimento correto. Primeiro você já era treinado sobre o procedimento, soltou a sirene e se você fizesse rápido o procedimento, fizesse correto o procedimento, você ia ganhando pontos e cada vez que eu tocasse essa sirene, seria esse desafio seu e teria uma tabela, um rank para você acompanhar o seu desempenho. Então eu até brinco, né, do Big Phone, quem assiste às vez Brother, que o pessoal sai correndo porque puxa, é a minha chance de ganhar alguma coisa, né? Eu mostrar alguma coisa. Então se a gente tocar a sirene não sabendo se é fogo ou não e eles e o usuário ele, poxa, então eu acho que não é fogo. Eu vou clicar nesse link aqui,

eu vou ignorar a sirene, mas se tem uma motivação, um propósito, ele vai participar, ele vai querer fazer, tá? Aqui são a gente pode já falar de vários problemas de fich já mapeado, mas eu mapei agora uns aqui sobre os resultados que nos enganam. A gente adora fazer campanha de simulação para rodar, pegar lá eh 20% dos horas caídos, na próxima 17, depois 15, falou: "Poxa, meu programa de conscientização está funcionando, né?" Então a gente se baseia nesses dados para mostrar que a gente tá melhorando a conscientização dos nossos usuários. Mas vamos ver aqui algumas coisinhas, tá? O que que acontece com o seu usuário que não caiu, tá? Imagina que você rodou 80%, não

clicaram no e-mail, tá? O que que para você significa esse dado? Não viu, viu, ignorou, viu? E confundi perfeito. É um ponto cego, né? Perder um e-mail. Tem um meme no Theo Office, ele falando: "Olha, eu ganhando um joinha da equipe de segurança que não cair no fiche. Mal ele sabe que eu ignoro os e-mails do suporte, né? E então você não sabe. Exatamente. Então é um ponto sério que eu chamaria aqui, tá? Segundo, tá? Eh, olha que interessante aqui. Eu coloquei essa foto aqui para mostrar o poder da gamificação. Quem já foi na Defcom aqui Las Vegas? Alguém sabe? já eh lembra dessa brincadeira aqui do do chapéu na Defon, das folhas de de alumínio? Pessoal, olha

que interessante o poder de uma gamificação. Na Defon tem uma eh acontece já há alguns anos uma brincadeira, você ganha duas lâminas de alumínio e você tem que fazer um capacete para se proteger de ondas extraterrestres por conta manipulação, né? E aí você faz, você coloca lá no, você dá pro instrutor depois ele imite lá um raio simulando e vê se você realmente bloqueou a frequência ou não. E aí fica um leaderboards. Então quanto você conseguiu bloquear? Não, mas é um monte de gente fazendo um monte de adulto e você pode tentar várias vezes se quiser, tá? E fica um leaderboard. Então assim, imagine se você tivesse a missão sem gamificação, sem nada, só para fazer isso, mas você coloca enredo,

história, um leaderboard, tal e o pessoal acaba querendo fazer se motivar, engajar muito mais. Mas enfim, assim foi só uma curiosidade de de Defcon, tá? Hã, quando o usuário relata, aí tem muita gente fala, nessa mesma evento da NSA, teve uma das palestras que as pessoas falaram: "Olha, para então de olhar no clicking rate do seu e-mail fishing. Olha o quantas pessoas estão reportando." Só que ainda assim não é tão acurado porque você não sabe, imagina que a pessoa reportou e não era fishing. O que que você faz com isso, tá? ou se ela reportou que era fishing, você não sabe qual o motivo que ela identificou que aquilo seria um fishing ou não. E aqui já foi a segunda pergunta

gamificada para vocês, valendo uma caneca na Hacker Hangers. Ah, a Nich lançou um framework, um paper falando sobre é 23 que ela chama de red flags, que um e-mail pode ser fishing ou não. Como chama esse framework da fish, da da NIST?

E vocês podem baixar, é público também, tá? Aí é um paper muito legal deles, né? Um é um framework que ele lista o motivo, ele põe todas, separa em categoria essas 23 red flags, tá? Ninguém, ninguém. 23, ó, nich fish scale. Tá simples assim. Então, se vocês quiser procurar para baixar o documento, nich fish scale. E aqui que entra esse cara que é legal, que aqui você vai poder falar, olha, você tem que me reportar, mas tem que falar os motivos que chegaram você à conclusão que isso pode ser um fich ou não. E aí você começa já ter mais dados eh para trabalhar. Outro problema, né? O usuário que caiu, ele se sente envergonhado, tá? ele se

sente que tem uma punição porque ele caiu, o amiguinho dele não caiu e ele vai ter que fazer um curso de reciclagem, o amigo dele não, tá? Eh, então essa é uma mensagem muito ruim que passa para os usuários. E aí eu vou fazer tomar uma reflexão com vocês, tá? Tem muita gente que fala assim: "Não, cara, mas eu gosto de ensinar assim na prática, aprendendo então tá bom. Imagine que vocês deram um treinamento de código, de ética, de conduta na sua empresa. Aí tem lá um capítulo sobre suborno, sobre como agir. Aí para você ver se o pessoal realmente entendeu, né, sobre suborno, você contrata alguém para tentar subornar algum funcionário seu? Porque imagina se a pessoa aceita, né?

Opa, você errou, então vamos pra reciclagem. Ela falando: "Não, nossa, mas meu erro pode significar alguma coisa". Então a gente não ensina o ser humano cutucando ele como a gente faz com o sistema. E quem vai para essa área de simulação, de fishing, de awarness, geralmente muitas vezes é profissional técnico, tá? E esse profissional técnico, ele aprendeu a corrigir sistema, cutucando o sistema, né? Fazendo lá, ó, vou bombardear o sistema aqui, vê se ele responde, né, com falha. Se ele responder, eu lanço, né, depois aplico uma correção. Mas com ser humano a gente não pode fazer a mesma lógica, tá? Só que se tentaram fazer e se tenta fazer com simulação de fishing, tá bom?

E aí fica isso, né? O usuário aqui, ah, ele só não quer ser pego, né? Ele não quer ajudar a companhia, ele não quer aprender, ele só quer não ser pego, tá? Essa é a única missão dele no time de segurança. Essa falsa sensação de controle, porque você manipula o fishing, tá? o o seu você pode pegar numa época eh que um apelo, o título. Então esses rate que você classifica, ele não significa quase nada porque ele é totalmente manipulável a cada campanha de simulação de fishing. Só que tudo que eu falei agora, né, o era um caso de incêndio, é um episódio, falamos de pesquisa, falamos de teoria e eu quero trazer para vocês casos reais,

tá? Agora na área de simulação de fishing, que que aconteceu quando se faz fishing? O que que acontece no dia a dia. Alguém conhecer esse caso aqui? Levantar a mão. Não. Esse caso foi ano passado, se não me engano, tá? Vocês podem pesquisar também na internet. A universidade lá da Califórnia, uma das universidades da Califórnia, o pessoal da cybersegurança rodou um um fishing simulation que era um aluno tinha ido pra África, voltado, contrair ebola ir para clicar no procedimento para ver se o que que você deveria fazer ou não. Que aconteceu? caos na faculdade, eh, enfim, pânico, desespero e aí a faculdade teve que se retratar, tá? Então, esse um pouquinho aí do office no

mundo real para vocês, tá? Ah, a COVID-19, tá? Ah, teve um caso, ah, bem na época que tava saindo as vacinas, mas tava demorando para chegar, teve alguma coisa que as empresas, alguns boaços que elas estavam tentando comprar para aplicar nos próprios funcionários, né? Aí uma empresa aqui do Brasil pegou esse contexto, falou: "Olha, a nossa empresa aqui comprou um lote, se você quiser tomar vacina, eh, cliquea aqui para se cadastrar". Que que aconteceu? Era um fishing, só que essa pessoa, uma dessas pessoas que caíram falou: "Poxa, mas eu acabei de perder meu pai de Covid e você lança um tema tão sensível, tão fez o quê? Um gatilho emocional, causou só estress, mágoa e

não aprendeu nada o usuário, né? Esse alguns problemas eh reais que eu trouxe para vocês, é para vocês depois consultarem também. Só que aí, gente, olha o problemão que tem em fazer campanha de simulação de fishing. Ah, sobre agora a parte legal, tá? A lei de propriedade intelectual, né, que é a lei 9279/196, ela deixa claro que você não pode usar marcas de terceiro sem autorização deles, se a marca causar confusão, né? Seu uso causa confusão e causa uma um baita confusão quando você usa marca de terceiro para fazer simulação de fishing prejudicando a marca. E eu vou colocar aqui alguns dados reais. Talvez você já sabe alguns casos que aconteceu com vocês mesmos, mas é proibido por lei, é

ilegal, tá? A mesma coisa vale pros Estados Unidos, vale paraa Europa, todas têm uma lei bem clara, a proibição de marketing de terceiros que possam causar confusão. Esse aqui é um outro caso real, tá? Uma grande empresa aí no setor de de transporte ela fez um fich usando um um cupom de benefício e a pessoa teria que usar o cupom para ganhar um benefício, só que era uma campanha de simulação da empresa. E o que que aconteceu, tá? A empresa deu benefício, o saque dela foi inundado, os usórios começaram ir na internet reclamar, reclame aqui, enfim, causou um baita estresse pr pra empresa, tá? E é só não deu um problema maior porque as duas eh tinha negócio entre

elas e aí conseguiu ficar mais amigável, tá? Esse aqui também é um caso público, tá? Tá na internet. Ah, um banco, um grande banco, ele fez uma campanha de fishing, simulação de fishing. E ele falou: "Olha, PLR calculadora 2023, clique aqui para ver o quanto você vai receber". E usou o nome de um sindicato do dos bancários. O sindicato bancário, a hora que viu isso aí, ficou louco porque o pessoal começou a ligar e não dá xingar o sindicato que não funcionava a calculadora ou que o sindicato nunca fazia nada por eles e quando faz é fishing. Isso deu um, é, e essa é a grande confusão. E a mesma coisa acontece quando vocês usam a marca

de vocês mesmo, às vezes na própria companhia usando que o RH vai dar um benefício, né? E isso pode ser um problema, uma briga entre o RH e vocês. Enfim, tá? Isso aqui são alguns problemas de uso de marcas de terceiros sem autorização deles, o quanto que vocês podem prejudicar a empresa. Essa aqui falando que foi também um outro caso real. Teve uma campanha dos Dias dos Pais, fizeram uma simulação de fishing que ia ganhar uma cesta os os pais, só que não era simulação. E o RH ia fazer uma campanha dos dias dos pais. O que que aconteceu? O pessoal não clicou, né? Não se engajou. Então quando você faz dessa forma, o usuário fica

desconfiado, só não quer ser pego. Para ele é melhor não clicar, né? Na dúvida, não clique, né? E não faz nada. Então isso aí causou também super estresse com RH, que ninguém se engajou na campanha real deles, tá? Essa fotinha aqui saiu um pouco errada aqui, não pode soltar não. Aqui é só palavra para para vocês sobre o perfil do profissional que ele é muito mais técnico e ele acaba esquecendo esse lado do ser humano. E o Dwight, quem que já assiste de Ops foi de Theps aqui? O Dwight é aquele super nerd técnico, né? Até quando ele assume a gerência, ele monta uma sala de super vilão, ele anda com uma arma, ele dispara a arma sem querer um dia num

episódio. Quando ele quer ser eh promovido a gerente, ele quer demitir todo mundo, né? Nossa, gerente já vou demitir todo mundo. Então, muitas pessoas que rodam simulação de fichem tem esse perfil muito técnico. Então, eles não conseguem entender que eles podem machucar com simulação de ficha os seres humanos, tá? Aqui eu falei para vocês do suborno, tá? Ah, mas além do suborno, alguém lembra desse esses quadro aqui? Parece que ele voltou no ar agora, né? Mas agora acho que é fake, né? Então esse é o fishing, né? Falou assim, ó, para saber se, né, nosso par é fiel ou infiel, vamos rodar um fishing, né? E aí solta a la isca. No caso é uma

modelo, ela tenta seduzir a pessoa, se ela é seduzida, ele caiu no fish, né? E se ela não cai, quando o marido não cai, pelo menos antigamente eu acho que era verdadeiro, ele ficava revoltado também, que é um absurdo você me querer testar dessa forma, né? Mas enfim, esse é o fich do do relacionamento. Então assim, se a gente acredita em simulação de fish, eu falo se você pode acreditar, mas passa para tudo. Eu falo, ensine todo seus filhos assim, seus usuários em todo em qualquer assunto dessa forma, é fazendo pegadinhas, não a visão dos usuários né? Só que eu só falei de problema, problema, problema, problema. No final do dia vocês querem o quê? Essa é a

grande pergunta em quem ficar, né? O que que vocês querem? Não é pegar o usuário, né? Porque o hacker, né? Nós, por essência que nós temos, eu tenho que achar uma falha. Então, se eu não acho uma falha, eu não fiz meu trabalho. E aí você faz isso para sistema. Aí quando você vai pro pra área de pessoa, você não quer conscientizá-la geralmente você quer pegar ela. E se o seu fishing ele não tem um clicking rato. Ah, meu fishing foi fraco, né? Então, a, né, o tesão do hacker aqui é pegar as pessoas. Não, né? Uma simulação de fishing. O que que você quer? Na prática você quer que as pessoas, se chegar um fishing, né,

real na seu, na caixa dele, que ele saiba reconhecer e combater o fishing. É isso que vocês deveriam querer, tá? E o foco se perdeu. O foco foi só pegar o usuário, só pegar o usuário. E aqui que a gente vai então o quê? Copiar um pouquinho das indústrias mais maduras, que a indústria da aviação, por exemplo, indústria de combate ao incêndio. O que que elas fazem? Elas fazem isso de uma forma controlada. Então, né, um simulador de voo, coloca lá o piloto de tempos em tempos e simula situações de pane, de incidentes ao trem de pouso quando ele, né, não descer na hora do pouso, eh, enfim, tempestade e ele vai simulando, né, e aí o usuário,

né, o piloto, no caso, tem que agir de forma correta. Então, é assim que as outras indústrias maduras fazem, tá? E nós mesmos em cybersegurança com os table, né? Então a gente simula uma situação para responder, né, um exercício de resposta incidentes, a gente faz tableetop, a gente, né, joga um cenário e vê como que os nossos usuários reagem. Então a gente pode fazer essa mesma analogia para o mundo de fichem e-mail, tá? Eh, eu vou falar um caso específico aqui que como que aqui a hacker rangers nós fizemos, então, tá? e que vocês podem fazer e fiquem à vontade de cada um fazer da forma de vocês. Ah, que que a gente fez? Então, a gente coloca os

usuários nessa cabine e a gente bombardeia ele de diversos cenários se um e-mail pode ser fishing ou não. E aí, por exemplo, se você coloca um e-mail que tem duas dessas red flag, por exemplo, se o remetente está diferente do destinatário e se, por exemplo, o SPF falhou, tá? Essas são red flags, estão uma pea na nich, então vocês estão se baseando em um framework maduro de mercado e aí o usuário vai ter que responder. Imagina que tenha duas red flags, mas ele só aportou uma. Então o cara, às vezes ele nem sabe ler header. Poxa, ele tem que saber ler header. Poxa, infelizmente tem. Se você quiser realmente que ele saiba reconhecer se o

e-mail é fishing ou não, tá? Ah, e dessa forma você vai fazendo isso com os usuários de uma forma gamificada, que é o que a gente acredita. Conforme ele vai evoluindo, ele vai ganhando mais pontos. e sempre tem aquele friozinho na barriga porque ele tá eh ganhando ou perdendo pontos, né? Então essa é a pressão dele que ele tem que sentir se ele sabe reconhecer se é fich ou não. E aí olha a magia aqui. Você faz isso pro 100% dos seus usuários. Lembra aquele ponto seco dos 80% que você não sabia de nada deles? Agora você vai saber, poxa, os usuários que não tá sabendo quando é back, né, que é o business email

compromised, quando tá tudo em ordem, só que acontece que o usuário eh, né, invadir a conta do meu eh, gerente de finanças e me pediu uma solicitação que ele nunca pediu na vida. Eu vou desconfiar porque eu sei que existe back. Agora seu usuário sabe e aí você simula aqui. Então você cria diversos cenários de incidentes para ele. E aí olha a magia aqui. Em treinamentos você pode usar a marca de terceiro. Então você pode pegar um e-mail real, um fishing real. Aconteceu com a Crowd Strike quando teve aquele probleminha, começaram e fishings para baixar atualização e era um fishing, né, sendo praticado em nome da Crowd Strike. Então você já joga no simulador, tá? fichens

que tão acontecendo no mercado para ver se o seu usuário sabe responder ou não pelas maneiras corretas, tá? Aqui alguns, né, das red flags, coloquei aqui, né, SPF não denticado, links mascarados, eh, pressão de urgência, manipulação emocional. Então, você vai treinando isso daí. Aí você vai ter o quê? Um gigante, né, caboço aí de dados para você trabalhar aonde seus usuários estão errando mais, não identificando mais, tá? Puxa, quando eu uso isso daqui, eles estão eh não sabendo identificar este ou não este motivo, tá? Ó, agora a terceira perguntinha aqui. Nossa, só uma pessoa ganha caneca agora. Agora vai ser uma bem fácil, hein, gente. A SAN, ela tem um modelo de maturidade para medir os programas de

conscientização, tá? Ele vai do nível, tem, né? 1 2 3 4 5. Alguém sabe me falar qual que é o nome do nível três? Um ela chama de um, mas é não existente, tá? Até não sei porque ela chama de um. Terceiro, ó, modelo de programas de maturidade da SANS, que é um framework, vocês podem baixar também. Aí tem lá o nível três, qual que é o nome dele? Proativo, ninguém vai perder a caneca. É que relacionado a comp compliance é o nível dois, tá? O nome chama change behavor, né? Mudança de comportamento, tá? Eh, e aqui que eu falo para vocês que engraçado, nesse framework da SAN, quando você vai pro nível três, ela fala

que você tem que fazer programa de conscientização que seja eh que leve pra vida pessoal do colaborador, do seu usuário, que seja eh motivador, engajado, divertido. Então, ela pega esse apelo já para você mudar o comportamento, tá? Enfim, aqui é uma pequena curiosidade, mas dando informações para quem não conhece esse modelo, é muito importante vocês conhecerem e para quem quiser, a SUS todo ano tem um evento mundial, nós estaremos presente mais um ano lá e vai ser esse ano em Chicago. Ela transmite online de forma gratuita e é muito especial que é muitos cases empresas falando como tá resolvendo seus problemas de conscientização. Basta se cadastrar, tá? Você vai lá Sans Cyber Security Awarn Summit, tá? 2025 você já

vai ver o link para vocês se cadastrarem. Tá? Eh, eu vou deixar mais uma pergunta de reflexão aqui para vocês.