Como fazer um teste de phishing gratuito para sua organização
Portanto, você deseja avaliar as vulnerabilidades de sua organização com um Phishing teste, mas você não quer pagar pelo software de simulação de phishing que aumentará a conta?
Se isso for verdade para você, continue lendo.
Este artigo aborda maneiras pelas quais um engenheiro de segurança técnico ou um analista de segurança não técnico pode configurar e executar uma simulação de phishing gratuitamente ou quase sem nenhum custo.
Por que preciso executar um teste de phishing?
De acordo com a Verizon 2022 Relatório de investigações de violação de dados com mais de 23,000 incidentes e 5,200 violações confirmadas em todo o mundo, o phishing é um dos quatro principais caminhos para comprometimento em uma organização, e nenhuma organização está segura sem um plano para lidar com o phishing.
As simulações de phishing são a segunda linha de defesa e uma extensão do phishing conhecimento. É uma forma de reforçar o treinamento dos funcionários e ajudá-lo a entender seu próprio risco e melhorar a resiliência da força de trabalho. A experiência é o melhor professor de todos, e um teste de phishing é a maneira mais eficaz de reforçar o treinamento e a conscientização sobre segurança cibernética.
Como executo uma campanha de phishing em minha organização?
A execução de uma simulação de phishing em uma organização pode disparar alarmes (de uma maneira ruim) se não for feita corretamente.
Você quer ter certeza de ter um plano de implementação técnica, bem como de comunicação organizacional.
- Planeje sua estratégia de comunicação (planeje como vender isso aos executivos e como definir o tom com os funcionários. Lembre-se: pegar alguém em sua organização que caia no seu teste de phishing não deve ser uma punição, deve ser um treinamento.)
- Entenda como analisar seus resultados (ter uma taxa de sucesso de 100% não se traduz em sucesso. Ter uma taxa de sucesso de 0% também não).
- Comece com um teste de linha de base (isso lhe dará um número para medir)
- Envie mensalmente (essa é a frequência recomendada para testes de phishing)
- Envie uma variedade de testes (não se copie com muita frequência. Ninguém vai cair nessa.)
- Envie uma mensagem relevante (use notícias atuais fora da empresa ou internamente para obter uma taxa de abertura mais alta para sua campanha)
Quer saber mais detalhes sobre o que fazer e o que não fazer ao executar um teste de phishing gratuito?
>>>Confira nosso Guia definitivo para entender o phishing AQUI. <<
Por que devo usar um software de simulação de phishing gratuito ou econômico?
A resposta simples para essa pergunta é porque você não precisa usar soluções caras como o KnowBe4 para executar uma boa campanha de phishing.
Também é verdade, neste caso, que o software mais caro não é necessariamente o melhor software para executar sua campanha.
O que você precisa para uma campanha de phishing eficaz?
Bem, a verdade é que você realmente não precisa de muitos sinos e assobios para executar uma campanha de phishing.
Você também não precisa de 1,000 modelos para realizar uma campanha.
Afinal, a maioria das campanhas de phishing não envia mais de 1 e-mail de phishing por mês.
Também, a melhor maneira de executar uma ótima campanha é personalizar seus próprios modelos voltados para sua organização.
Portanto, na realidade, é melhor escolher um software de simulação de phishing que seja personalizável e fácil de usar, não muito complicado e repleto de recursos que você nunca usará.
Qual é o melhor software de teste de phishing gratuito?
Na verdade, gostamos tanto que preparamos uma cópia no Hailbytes preenchida com os modelos e páginas de destino que nossa equipe usa. Você pode conferir nosso Estrutura de phishing GoPhish na AWS.
GoPhish é uma estrutura de phishing simples, rápida e extensível que é de código aberto e é atualizada com frequência.
Como faço para começar com o GoPhish Framework?
Existem duas opções diferentes de como você deve começar. Para descobrir qual opção você deve escolher, você deve se fazer algumas perguntas.
Sou tecnicamente qualificado quando se trata de configurar a infraestrutura de segurança?
Se a resposta é sim, então você provavelmente está bem para configurar Gophish por conta própria. Lembre-se de que a configuração desse tipo de infraestrutura pode ser demorada e desafiadora se você quiser configurá-la corretamente.
Se a resposta for não, então você vai querer seguir o caminho mais fácil e use a instância da estrutura GoPhish que está disponível no marketplace da AWS. Esta instância permite uma avaliação gratuita e cobra pelo uso medido. Não é gratuito, mas é mais acessível que o KnowBe4 e muito mais fácil de configurar.
Desejo configurar o GoPhish como infraestrutura de nuvem?
Se a resposta for sim, então você pode use a versão pronta do GoPhish na AWS. O benefício disso é que você pode ampliar suas campanhas de phishing com facilidade de qualquer local. Você também pode gerenciar sua assinatura junto com sua outra infraestrutura de nuvem na AWS.
Se não, então você pode querer configure o GoPhish você mesmo.
