Handbook
  • Introdução
  • Empresa
    • Bem Vindo a Vantico!
    • Valores da Vantico
    • Trabalho Remoto
    • Branding
      • Cores
      • Tipografia
      • Ilustrações
      • Tom de voz & Descrições
    • Políticas
    • Soluções utilizadas pela Vantico
  • Serviços
    • Inteligência de ameaças
    • Revisão de código seguro
    • Pentest WEB
    • Pentest API
    • Pentest Mobile
    • Pentest rede interna
    • Pentest rede externa
    • Revisão de configuração cloud
    • Pentest Azure Active Directory
    • Pentest Desktop
    • Pentest IA/LLM
    • Red Team e Emulação de Adversário
  • Parceiros
    • Visão geral sobre Pentest
    • Tipos de Pentest
    • Relatório do Pentest
    • Teste de correção (Re-test)
    • Pentest para PCI DSS
    • Perguntas frequentes
  • Pentester
    • Markdown
    • Como reportar uma vulnerabilidade
  • Plataforma
    • Começe aqui
      • Acessando a Plataforma
      • Preparação para o Pentest
      • Selecione o Tipo de Pentest
      • Definir os Requisitos do Pentest
        • Alvo
        • Teste suas Crendenciais
        • Instruções para cada Pentest
      • Especifique os Detalhes do Pentest
        • Planejamento e Escopo do Pentest
        • Revisar e Enviar o Pentest
        • Expectativas do Pentest
        • Glossário
    • Changelog
    • Pentests
      • Processos do Pentest
        • Estados de Pentest
        • Lista de verificação de cobertura
      • Descobertas
        • Corrigindo Descobertas
        • Estados das Descobertas
        • Níveis de gravidade
      • Relatórios
        • Conteúdo de um relatório Pentest
        • Customize seu Relatório de Pentest
        • Relatórios de Pentest de marca conjunta
    • Colaboração
      • Colabore em Pentests
      • Gerenciar colaboradores do Pentest
      • Funções e permissões do usuário
      • Notificações
    • Domínios
    • DAST Scanner
      • Alvos
      • Autenticação do Alvo
    • Organização
      • Gerenciar usuários
    • Conta Vantico
      • Solucionar problemas de Login
      • Configurações da Conta
      • Melhores Práticas com a Senha
  • Metodologias
    • API
      • GraphQL
      • REST
    • Cloud
      • AWS
      • BucketLoot
      • Referências
    • Mobile
      • iOS
      • Android
      • Referências
    • Kubernetes
    • Rede Externa
      • Enumeração de Subdomínios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
    • Rede Interna
      • PowerShell
      • Movimentação Lateral
      • Pós Exploração
      • Escalação de Privilégios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
      • Referências
    • Aplicações Web
      • Checklist
      • Low Hanging Fruits
      • Gerando Valor
      • Técnicas
      • Automatizando o Scan por Secrets
      • Chaves API
      • Referências
    • Spear Phishing
    • Ferramentas
    • Gerando wordlists efetivas
    • Guia de engajamento de um pentest
Powered by GitBook
On this page
  • Incluir nossa campanha de phishing na lista de permissões
  • Incluir na lista de permissões com Microsoft 365
  • Pré-lançamento: Testando a campanha
  • Durante a campanha
  • Pós-campanha
  • Debriefing interno

Was this helpful?

  1. Metodologias

Spear Phishing

PreviousReferênciasNextFerramentas

Last updated 4 months ago

Was this helpful?

Se você está lendo isto, provavelmente acabou de se inscrever (ou está interessado em) uma campanha de phishing conosco! Estamos prestes a começar a criar um modelo de e-mail e uma página de destino, feitos sob medida para tentar enganar sua equipe a nos fornecer suas credenciais. Mas antes disso, há algumas preparações a serem feitas.

Incluir nossa campanha de phishing na lista de permissões

Por que incluir na lista de permissões?

Em um ataque de phishing real, é claro que você não incluiria a campanha do atacante na lista de permissões! Então, por que fazer isso para a nossa? Lembre-se, o objetivo de realizar uma campanha de phishing simulada é testar a conscientização de segurança de seus funcionários; não testar a eficácia do seu gateway de e-mail.

Incluir na lista de permissões com Microsoft 365

O Microsoft 365 permite simulações de phishing de terceiros. Aqui está o que você precisa fazer:

  1. Faça login em com uma conta que tenha permissões suficientes (como um Administrador Global).

  2. No menu à esquerda, selecione Email & Colaboração > Políticas & Regras > Políticas de Ameaça.

  3. Na nova página, em Regras, selecione Entrega Avançada.

  4. Escolha a página de simulação de phishing e clique em Editar.

  5. Adicione o domínio da campanha, E os IPs de envio, conforme abaixo.

Domínio: O domínio de phishing será fornecido a você pelo consultor.

Pré-lançamento: Testando a campanha

Com a sua ajuda, vamos testar a campanha de ponta a ponta duas vezes:

  1. Uma vez logo após termos criado e configurado;

  2. Logo antes de ela entrar no ar.

Enviaremos um e-mail e pediremos que você complete todo o processo, inserindo credenciais falsas (ou reais; sua escolha).

Se houver problemas, poderemos precisar atrasar o lançamento da campanha.

Durante a campanha

Observe como sua equipe reage à campanha e anote algumas de suas reações. Elas podem ser divertidas para discutir posteriormente. Se desejar, você também pode nos informar! Adoramos ouvir os resultados (leia-se caos) do nosso trabalho.

Pós-campanha

Após cerca de 24 horas, a maioria das pessoas terá tido a chance de interagir com a campanha de alguma forma. O boca a boca se espalha rapidamente e seus funcionários mais alertas provavelmente já informaram outros sobre o ataque de phishing (o que é bom). Hora de encerrar.

Com os testes finalizados, é importante remover a lista de permissões que você adicionou anteriormente.

Debriefing interno

Engenharia social é um tópico sensível. Enquanto os computadores não se importam em serem hackeados, as pessoas podem ter uma reação negativa ao cair em uma campanha de phishing. É vital que você reforce a todos que se sintam mal e mostre a campanha de forma positiva, agradecendo às pessoas por participarem na melhoria da segurança da empresa.

Em nossa experiência, envergonhar ou repreender pessoas que caíram no phishing piora sua segurança cibernética. Isso impede que as pessoas relatem incidentes e causa uma visão negativa sobre o treinamento de segurança cibernética. Não queremos trabalhar com empresas que abusam de nossos serviços dessa maneira e nos recusaremos a realizar exercícios de phishing adicionais se encontrarmos qualquer abuso.

Uma discussão aberta com todos os funcionários sobre a campanha pode ser extremamente benéfica. Pergunte (com antecedência) se as pessoas que foram phished querem compartilhar seu processo de pensamento sobre por que funcionou com elas. Da mesma forma, peça àqueles que perceberam a fraude para explicar o que os fez desconfiar.

Por fim, peça às pessoas que foram afetadas pelo pishing para mudar suas senhas.

https://security.microsoft.com/
Figura: Advanced delivery