LUCY oferece um “ambiente de aprendizagem seguro”, onde os funcionários podem ter a experiência de como seria um ataque real. Com a nossa variedade de simulações de ataque multilíngues predefinidas, pode testar se os seus funcionários estão realmente familiarizados com os perigos da Internet.
LUCY permite-lhe simular o cenário completo de ameaças, o qual vai muito além dos simples e-mails de phishing:
Crie modelos personalizados em minutos
Faça os seus próprios modelos de phishing com o nosso editor e simule qualquer tipo de ataque de phishing.
Não são necessários conhecimentos técnicos especiais.
LUCY permite-lhe criar cópias funcionais de sites com um único clique para simular ataques de spear phishing reais.
Meça o tempo que um utilizador permanece num site em particular ou monitorize downloads específicos.

Coloque um formulário de login funcional em qualquer página. É um processo de um clique e tem vários designs à escolha.
O kit de ferramentas de simulação de malware é capaz de emular várias ameaças. Permite ao auditor aceder a um conjunto avançado de funcionalidades equivalentes a muitas das ferramentas empregues pelos criminosos.
Então, como funciona um ataque
de phishing simulado?
PASSO 1
Determinar as necessidades
As simulações de phishing geram resultados quantificáveis que podem ser medidos. As nossas incluem simulações de Ransomware, Phishing por SMS, Phishing Corporativo (e-mails simulados que parecem vir de “dentro” da sua própria organização), Spear Phishing dirigido à Administração (dirigido a um grupo de indivíduos numa posição de influência), Phishing Pessoal (simulações destinadas a usar marcas conhecidas, como Amazon, Apple, eBay, etc.) e muitas outras técnicas Estas medidas permitem identificar e monitorizar melhorias. A abordagem consultiva da nossa equipa irá garantir que todas as campanhas e simulações de phishing são feitas à medida das ameaças que a sua empresa enfrenta. Antes da simulação de phishing, as necessidades e os objetivos são clarificados e coordenados com as atividades planeadas. O objetivo é definir os elementos-chave da campanha:
- Atacar ou educar primeiro? Uma simulação de teste pode começar com uma formação inicial, onde os funcionários aprendem sobre segurança de e-mail e as implicações do phishing. A empresa também pode criar uma conta de e-mail anti-phishing, onde os funcionários podem partilhar facilmente as suas experiências, suspeitas e outras questões relativas às ameaças virtuais, antes da simulação começar
- Frequência da simulação: A frequência da simulação deve ser ajustada em função das ameaças percebidas. A abrangência de utilizadores e a frequência da simulação devem ser determinadas em conjunção com o risco percebido (por exemplo, Finanças e Pagamentos – 2 temáticas / X meses, quadros superiores – 1 temática / X meses). As funções/departamentos de alto risco e os indivíduos com cargos importantes na empresa devem ser abrangidos com mais frequência na simulação.
- Duração da simulação: A maioria das simulações de teste de phishing é programada para decorrer durante 12 meses. No entanto, certas campanhas ad-hoc podem ser situacionais.
- Programação – quando enviar e-mails? Ao planear uma campanha para cada função/departamento ou indivíduo, os e-mails de phishing devem ser iniciados com os elementos “Dia da semana” e “Hora do dia.”
- Seguimento: Uma campanha de simulação de phishing pode precisar de ser seguida de e-mails relevantes do departamento de TI, a informar os funcionários envolvidos sobre a realidade dos e-mails de phishing e o que se espera deles em troca. Se um utilizador falhar repetidamente, marque uma reunião para saber que dificuldades ele está a sentir e porquê. Organize ainda sessões de sensibilização/formação para este utilizador.
- Consistência com as políticas atuais: Uma vez implementado, o processo deve ser executado uniformemente por todos os envolvidos. A integração nas políticas e procedimentos de segurança da informação existentes também vai ajudar a dar mais importância à campanha.
- Escolha o tema de phishing correto: Consulte a secção seguinte.
- Comunicação empresarial: Antes de iniciar a campanha de simulação de phishing, elabore um plano de comunicação sobre a simulação de phishing com o chefe do departamento/função. Os funcionários precisam de ter conhecimento do novo processo, das expetativas, das consequências da não conformidade e da data que entra em efeito.
- Grupo-alvo: Se a campanha tem por alvo um grupo grande de utilizadores com a mesma função/departamento, eles podem informar outros membros do grupo. Como tal, os e-mails de phishing não devem ser encaminhados para toda a empresa, pois podem levantar suspeitas. Em vez disso, o processo deve ser orgânico e ter por alvo um grupo pequeno e seleto de funcionários.
- Garanta o compromisso dos quadros superiores: O apoio da chefia é fundamental para garantir a eficácia do processo. Portanto, estes utilizadores devem ter vontade de levar o processo a bom porto.
- Preparativos técnicos: Adicionar domínios de phishing à lista segura, criar contas de teste, testar a entrega de e-mails são algumas das atividades que devem ser cuidadosamente planeadas.
PASSO 2
Selecionar o tema do ataque simulado
Em todas as atividades de simulação de phishing, o tema desempenha um papel importante no cumprimento do objetivo final – educar os utilizadores para as ameaças reais. Para proporcionar uma experiência realista e sensibilizar, o tema da simulação de phishing selecionado deve corresponder a um evento ou contexto relevante para o indivíduo ou grupo-alvo. Aqui estão alguns pontos a considerar para realizar atividades de simulação eficazes:
- Qualquer tema escolhido para uma simulação de phishing deve estar alinhado com o contexto do negócio e o risco percebido pelo departamento/função/cargo do utilizador.
- O tema da simulação de phishing selecionado deve ser relevante para o indivíduo ou grupo-alvo.
- Para alcançar melhores resultados e experiência de aprendizagem, a complexidade do tema deve ser aumentada gradualmente.
- Começar com um tema de phishing muito complexo fará muitos falhar e não atingirá o objetivo final.
- Cada elemento enganador de um e-mail de phishing deve ser combinado com outros truques utilizados normalmente pelos atacantes (por exemplo, domínio duplicado com hiperligação camuflada, domínio falso com ficheiro de extensão dupla, etc.).
- Todas as atividades de simulação devem ser calendarizadas. As temáticas contextuais realizadas fora de um calendário definido perdem o seu valor.
PASSO 3
Selecionar serviços adicionais
A simulação de phishing do LUCY pode ser combinada com outros serviços que ajudarão a empresa a avaliar melhor o risco. Aqui estão alguns exemplos:
- Formações individuais: Os funcionários podem receber formação individualmente antes ou no seguimento de uma simulação de ataque. Os conteúdos dos cursos de formação podem ser adaptados às políticas da empresa já existentes. Testes interativos permitem registar o nível de conhecimento.
- Teste de filtro de e-mail e Web: Oferece uma análise técnica dos possíveis canais de entrada de malware. Que tipos de ficheiros podem ser enviados por e-mail? Que tipos de ficheiros perigosos podem ser transferidos?
- Teste de segurança local: Qual é o risco real de um funcionário executar um tipo de ficheiro perigoso? Em que medida a proteção técnica impede a fuga de dados?
- Análise do potencial de ataque: Que informação sensível do funcionário pode ser vista na Internet? O que é que os seus funcionários comunicam através do e-mail da empresa quando estão na Internet?
- Análise da cultura de segurança: A cultura de segurança atual deve ser registada e avaliada por meio de entrevistas, inquéritos e análises das diretrizes existentes.
- Análise da Darknet: Procuramos na Darknet a presença de fugas de dados e apresentamos, assim, uma imagem completa do risco, que não inclui apenas a visão interna.
- Campanhas recorrentes totalmente geridas: Prefere campanhas recorrentes totalmente geridas por nós? Convidamo-lo a delegar inteiramente em nós a sensibilização para a segurança de TI.
PASSO 4
Começar!
Temos todo o prazer em o aconselhar sobre os serviços mais adequados. Contacte-nos através do formulário a seguir ou ligue-nos para +1 512-917-9180 (EUA) ou +41 44 557 19 37 (Europa).