Como uma simulação de vishing transformou a cultura de cibersegurança do departamento de Cher
Entrevista realizada com Aurélien LALEVEE, responsável pela segurança de sistemas de informação do departamento de Cher.
Objetivo: testar a atenção em relação ao vishing… e mostrar que «isso não acontece só aos outros».
Quando lhe perguntam por que razão lançar uma campanha de simulação, Aurélien é claro:
«O nosso principal objetivo era testar a vigilância dos nossos colaboradores face a uma tentativa de vishing (chamada fraudulenta), em particular num cenário de falsa ordem de transferência internacional (FOVI).»
Aurélien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
O objetivo: avaliar a capacidade das equipas para reconhecer uma tentativa de engenharia social por telefone e por e-mail e, acima de tudo, verificar se adotam os reflexos corretos.
Mas, para além deste objetivo operacional, havia também uma mensagem a transmitir: os ataques não visam apenas os outros, e é muito mais fácil do que se pensa enganar alguém ao telefone.
O cenário: um falso agente, um número falsificado e um enredo muito credível
Para implementar a iniciativa, o departamento recorreu à solução da Hucency («Avant de Cliquer» na altura do lançamento).
O cenário era simples no papel, mas extremamente realista.
Um falso funcionário, que se apresentava como um novo colaborador do serviço de execução orçamental, ligava a determinados funcionários para lhes pedir que atualizassem os seus dados bancários através de um link enviado por e-mail, utilizando um domínio quase idêntico ao domínio oficial.
«O cenário era realista, pois tínhamos falsificado um número de telefone do serviço de execução orçamental, mas sem consequências técnicas: não foi efetuada qualquer alteração real.»
Aurelien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
Esta simulação inscrevia-se num processo já existente na organização, o que reforçava a credibilidade do apelo.
Um ponto fundamental do projeto: o apoio incondicional da Direção, e em particular da Diretora Financeira, que permitiu eliminar todos os obstáculos.
Durante o exercício: stress, desconfiança… e alguns cliques
A simulação decorreu ao longo de 4 dias, um dia a menos do que o previsto. Rapidamente, começaram a surgir comportamentos contrastantes:
- Alguns colaboradores percebem imediatamente que se trata de uma fraude e desligam;
- Outros continuam a conversa e acabam por clicar no link.
Uma lição marcante:
«Estatisticamente, os primeiros jogadores foram os que foram enganados mais facilmente. Depois, o boca a boca e a comunicação espontânea aumentaram o nível de vigilância.»
Aurelien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
À medida que os rumores internos se espalhavam, as equipas tornavam-se mais desconfiadas e mais atentas.
Após o exercício: reflexão e discussões espontâneas
O exercício suscitou inúmeras discussões espontâneas entre as equipas.
A tomada de consciência foi imediata: sim, mesmo um cenário simples pode parecer credível, sobretudo quando este joga com os códigos internos.
Algumas reações foram intensas: agentes stressados, convencidos de que tinham cometido um erro real, e que foi necessário tranquilizá-los… sem revelar demasiado cedo que se tratava de um teste.
A direção elogiou esta iniciativa, que destacou áreas a melhorar em matéria de formação e vigilância.
As lições: nada substitui a formação, a realidade e o contacto humano
O que se conclui desta experiência? Que a sensibilização nunca é algo garantido.
«O exercício demonstrou que mesmo cenários simples podem induzir os utilizadores em erro se o contexto parecer credível. Demonstrou também que este tipo de exercício não é impossível de realizar, apesar dos receios quanto aos riscos psicossociais.»
Aurelien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
Um ponto fundamental: explicar o teste presencialmente, com transparência e um pouco de humor, permite transformá-lo num momento educativo, em vez de uma fonte de stress.
Hucency: uma colaboração «profissional, ágil e formativa»
Como resumir a parceria com a Hucency? O responsável pelo projeto não mede palavras:
«A Hucency soube adaptar o guião às nossas restrições técnicas e jurídicas, garantindo ao mesmo tempo um elevado nível de realismo. As chamadas foram muito realistas, incluindo a recriação de um ambiente sonoro.»
Aurelien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
Já satisfeitos com as campanhas sobre phishing e USB dropping (phishing através de pen drives), a decisão de renovar a colaboração surgiu naturalmente.
«Hoje, escolheria esta equipa pela sua experiência em engenharia social, pela sua capacidade de criar cenários realistas e pela sua abordagem pedagógica. A sua solução permite medir de forma concreta as reações dos utilizadores.»
Aurelien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
Algum conselho para os diretores de sistemas de informação e os responsáveis pela segurança de sistemas de informação?
«Atreva-se a dar o passo. Estas simulações são indicadores poderosos de comportamentos de risco. Permitem iniciar discussões concretas e melhorar as práticas internas.»
Aurelien LALEVEE, Diretor de Segurança de Sistemas de Informação do departamento de Cher
E agora?
O departamento não tenciona ficar por aqui.
Já foram lançadas novas campanhas simuladas: phishing, smishing (ataques por SMS) e outros cenários variados, com o objetivo de continuar a reforçar a cultura de cibersegurança.
