O Gophish é uma poderosa plataforma de simulação de ataques de phishing e conscientização de segurança. Ele permite que organizações testem proativamente a consciência de seus funcionários em relação a e-mails de phishing e outras ameaças cibernéticas, ajudando a identificar áreas de risco e fornecendo dados valiosos para aprimorar as medidas de segurança.
-
Campanhas de Phishing Personalizáveis: Crie campanhas de phishing sob medida para suas necessidades específicas. Personalize e-mails, páginas de destino e URLs para simular ataques reais.
-
Análise de Engajamento: Acompanhe o engajamento dos usuários em tempo real. Obtenha insights sobre quantos funcionários abriram e-mails de phishing, clicaram em links e forneceram informações confidenciais.
-
Painéis Interativos: Visualize os resultados das campanhas de forma clara e concisa através de painéis interativos. Observe as métricas-chave, incluindo taxas de abertura, cliques e envios.
-
Modelos de Campanha Prontos para Uso: Utilize modelos de campanha pré-configurados para começar rapidamente. Esses modelos são baseados nas táticas de phishing mais comuns e permitem uma configuração fácil.
Aqui estão algumas capturas de tela de modelos de campanha prontos para uso:
Modelo de e-mail de phishing convincente, projetado para enganar os usuários.
Página de destino falsificada que imita uma página de login para roubar credenciais.
Dashboard da campanha.
Recentemente, conduzimos uma campanha de conscientização de segurança usando o Gophish para avaliar o nível de consciência de nossos funcionários em relação a e-mails de phishing.
- Total de e-mails enviados: 184.
- E-mails abertos: 173 (taxa de abertura de 94%)
- Clicou no link: 21 funcionários (taxa de cliques de 12%)
- Enviaram suas informações: 8 funcionários (taxa de envio de 4%)
Esses resultados são essenciais para entender as áreas de força e as áreas em que precisamos melhorar em relação à conscientização de segurança de nossa organização.
É encorajador ver que a maioria dos funcionários não caiu na tentativa de phishing, demonstrando um nível decente de vigilância. No entanto, o fato de alguns funcionários terem clicado no link e até enviado suas informações é uma indicação clara de que mais educação e treinamento são necessários.
Com base nos resultados da campanha, planejamos seguir os seguintes passos:
-
Realizar treinamentos direcionados: Forneceremos treinamentos específicos para os funcionários que clicaram no link ou enviaram suas informações. Isso os ajudará a entender os riscos associados aos ataques de phishing e como identificá-los e respondê-los com eficácia.
-
Aprimorar programas de conscientização: Reforçaremos nossos programas de conscientização de segurança compartilhando regularmente dicas, práticas recomendadas e exemplos reais de ataques de phishing. Isso manterá a segurança em mente para nossos funcionários e incentivará uma cultura de comportamento consciente da segurança.
-
Melhorar a filtragem e detecção de e-mail: Avaliaremos nossos sistemas atuais de filtragem e detecção de e-mail para garantir que sejam robustos o suficiente para detectar tentativas sofisticadas de phishing. Isso minimizará as chances de e-mails maliciosos chegarem às caixas de entrada de nossos funcionários.
-
Avaliação contínua: Continuaremos realizando campanhas periódicas de phishing para avaliar o progresso de nossas iniciativas de conscientização de segurança. Isso nos ajudará a identificar quaisquer tendências emergentes ou áreas que requerem mais atenção.
Juntos, estamos construindo uma cultura de segurança sólida para proteger nossos dados e recursos.
Valorizamos a contribuição da comunidade para aprimorar a segurança cibernética em geral. Se você tiver sugestões, melhorias ou encontrar problemas, fique à vontade para abrir uma issue ou enviar um pull request. Seu feedback é bem-vindo!
Este projeto está licenciado sob a Licença MIT. Consulte o arquivo LICENSE para obter mais informações.
Para mais informações ou dúvidas sobre o Wazuh, entre em contato através do e-mail matfurrier@gmail.com.