[Segurança] Phish scale para dimensionar a complexidade do seu teste de phishing

Quando falamos sobre conscientização dos usuários finais sobre ciber segurança, provavelmente a primeira iniciativa que vem na cabeça dos profissionais da área são os testes de phishing, aonde são enviadas aos usuários da empresa mensagens semelhantes a golpes conhecidos de phishing. O objetivo é testar os usuários e identificar se eles são alvos fáceis, e portanto, identificar a necessidade de treinamentos e ações de educação específicas.

Para ajudar as empresas a avaliar se uma mensagem de teste de phishing é realista e se ela é fácil de ser identificada pelos usuários finais, o pessoal do NIST criou o projeto Phish scale.

O Phish scale utiliza uma escala com 2 parâmetros para classificar a dificuldade de identificar uma mensagem de phishing, baseado na quantidade de "dicas" presentes na mensagem (por exemplo, erros de digitação ou gramática no texto, uso de endereços de e-mail genéricos, etc) e a aderência ao contexto do usuário (por exemplo, quando é relacionado a empresa ou sou trabalho da vítima).

Assim, com o uso dessa escala, podemos adaptar a complexidade da mensagem de phishing ao nosso público-alvo ou ao melhor momento em que a campanha de testes é realizada.

O Phish Scale faz parte de um projeto do NIST sobre a usabilidade da ciber segurança, que tem um subprojeto específico sobre Phishing.

Para saber mais:

• The Phish Scale: NIST-Developed Method Helps IT Staff See Why Users Click on Fraudulent Emails
• Página dos projetos do NIST sobre phishing
• Veja abaixo o vídeo curto que o pessoal do NIST fez para explicar o projeto: