Basicamente, se você está procurando um simulador de phishing gratuito para sua empresa, existe três opções:
- Ferramentas simples que permitem criar uma mensagem de e-mail curta e enviá-la para um ou vários destinatários usando um servidor de e-mail específico. Recursos como relatórios ou gerenciamento de campanha muitas vezes não são uma opção, tornando-os mais parecidos com ferramentas de teste de penetração do que simuladores de phishing.
- Plataformas de phishing de código aberto. Esta é uma categoria crescente e interessante. Com o código aberto, você obtém todos os benefícios usuais, como versões gratuitas ricas em recursos e suporte da comunidade. Mas todas as deficiências usuais também estão lá: ferramentas como essa geralmente requerem algumas habilidades técnicas significativas para instalar, configurar e executar. Além disso, a maioria deles é baseada em Linux. Portanto, se palavras como “dependências ausentes” não soam como uma língua estranha, então esta categoria pode ser do seu interesse. Caso contrário, existe a terceira escolha.
- Versões de demonstração de produtos comerciais. A maioria dos simuladores comerciais de phishing é oferecida como software como serviço (SaaS). Com eles, você geralmente obtém o melhor de todos os mundos: facilidade de uso, recursos avançados (incluindo relatórios), suporte técnico etc. Com o phishing entre os principais riscos de segurança cibernética e os simuladores comerciais de phishing surgindo como cogumelos após uma chuva, encontrar uma demonstração gratuita parece uma tarefa fácil. Isto é, até que você realmente tente. Na maioria dos casos, o melhor que você consegue depois de muita pesquisa é uma campanha gratuita gerenciada pelo fornecedor ou uma conta de demonstração com tantas limitações que nem mesmo dá uma boa compreensão dos recursos da versão completa, muito menos fornecer a você uma ferramenta real que possibilite usar com eficácia para criar e gerenciar várias campanhas de phishing. O cenário mais provável para plataformas de phishing SaaS é uma demonstração agendada, que pode ou não resultar na obtenção de acesso a uma versão do produto que você pode realmente usar. Há, no entanto, uma exceção a essa regra, que você verá no topo de nossa lista.
Os cinco melhores simuladores de phishing
1. Infosec IQ: Inclui um Teste de Risco de Phishing gratuito que permite lançar uma campanha de phishing simulada automaticamente e receber a taxa de phishing de sua organização em 24 horas.
Você também pode acessar a ferramenta de simulação de phishing em grande escala do Infosec IQ , PhishSim, para executar simulações sofisticadas para toda a sua organização.O PhishSim contém uma biblioteca de mais de 1.000 modelos de phishing, anexos e páginas iniciais de entrada de dados. Os modelos são adicionados semanalmente, permitindo que você instrua os funcionários sobre os golpes de phishing mais atuais.
Quer criar seus próprios e-mails de phishing? PhishSim tem um criador de modelos de arrastar e soltar para que você possa criar suas campanhas de phishing de acordo com suas especificações exatas.
Inscrever-se para uma conta Infosec IQ gratuita dá a você acesso total à biblioteca de modelos PhishSim e ferramentas educacionais, mas você precisará falar com um representante do Infosec IQ para poder lançar uma campanha PhishSim gratuita.
A Infosec oferece uma demonstração gratuita e personalizada da plataforma simulada de phishing e conscientização de segurança do Infosec IQ. Clique aqui para começar .
2. Gophish: Como uma plataforma de phishing de código aberto, o Gophish acerta. É compatível com a maioria dos sistemas operacionais, a instalação é tão simples quanto baixar e extrair uma pasta ZIP, a interface é simples e intuitiva e os recursos, embora limitados, são cuidadosamente implementados.
Os usuários são facilmente adicionados, manualmente ou por meio da importação de CSV em massa. Os modelos de e-mail são fáceis de criar (não há nenhum incluído, porém, com um repositório com suporte da comunidade iniciado) e modificar (o uso de variáveis permite uma fácil personalização), a criação de campanhas é um processo simples e os relatórios são agradáveis de se olhar e podem ser exportado para o formato CSV com vários níveis de detalhe.
Principais desvantagens: sem componentes de educação de conscientização e sem opções de programação de campanha.
3. LUCY: O primeiro item pago de nossa lista, LUCY oferece um download sem complicações da versão gratuita (comunidade) da plataforma. Você só precisa do seu endereço de e-mail e nome, e pode fazer o download do LUCY como um dispositivo virtual ou um script de instalação do Debian. A interface da web é atraente (embora um pouco confusa) e há muitos recursos a serem explorados:
4. Kit de ferramentas de phishing simples (sptoolkit): Embora essa solução possa faltar no departamento de atratividade da GUI em comparação com algumas das opções anteriores, há um recurso importante que a coloca no topo de nossa lista.
O Simple Phishing Toolkit oferece uma oportunidade de combinar testes de phishing com educação de conscientização de segurança, com um recurso que (opcionalmente) direciona os usuários de phishing a uma página de destino com um vídeo de educação de conscientização. Além disso, existe um recurso de rastreamento para os usuários que concluíram o treinamento.
Infelizmente, o projeto sptoolkit foi abandonado em 2013. Uma nova equipe está tentando dar uma nova vida a ele, mas no momento, a documentação é escassa e espalhada por toda a internet, tornando a implementação realista em um ambiente corporativo uma tarefa difícil .
5. Phishing Frenzy: Embora este aplicativo Ruby on Rails de código aberto seja projetado como uma ferramenta de teste de penetração, ele possui muitos recursos que podem torná-lo uma solução eficaz para campanhas internas de phishing.
Talvez o recurso mais importante seja a capacidade de visualizar estatísticas detalhadas da campanha e salvar facilmente as informações em um arquivo PDF ou XML. Você provavelmente pode adivinhar a parte “porém” que está por vir: Phishing Frenzy é um aplicativo baseado em Linux, cuja instalação não deve ser feita por um novato.
