fbpx

Este site usa cookies e tecnologias afins que nos ajudam a oferecer uma melhor experiência. Ao clicar no botão "Aceitar" ou continuar sua navegação você concorda com o uso de cookies.

Aceitar
Cinco melhores simuladores de phishing

Segurança da Informação

Cinco melhores simuladores de phishing

Jader Rodrigues
Escrito por Jader Rodrigues em 15 de junho de 2021
Junte-se a mais de 10.000 pessoas

Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Basicamente, se você está procurando um simulador de phishing gratuito para sua empresa, existe três opções:

  1. Ferramentas simples que permitem criar uma mensagem de e-mail curta e enviá-la para um ou vários destinatários usando um servidor de e-mail específico. Recursos como relatórios ou gerenciamento de campanha muitas vezes não são uma opção, tornando-os mais parecidos com ferramentas de teste de penetração do que simuladores de phishing.
  1. Plataformas de phishing de código aberto. Esta é uma categoria crescente e interessante. Com o código aberto, você obtém todos os benefícios usuais, como versões gratuitas ricas em recursos e suporte da comunidade. Mas todas as deficiências usuais também estão lá: ferramentas como essa geralmente requerem algumas habilidades técnicas significativas para instalar, configurar e executar. Além disso, a maioria deles é baseada em Linux. Portanto, se palavras como “dependências ausentes” não soam como uma língua estranha, então esta categoria pode ser do seu interesse. Caso contrário, existe a terceira escolha.
  1. Versões de demonstração de produtos comerciais. A maioria dos simuladores comerciais de phishing é oferecida como software como serviço (SaaS). Com eles, você geralmente obtém o melhor de todos os mundos: facilidade de uso, recursos avançados (incluindo relatórios), suporte técnico etc. Com o phishing entre os principais riscos de segurança cibernética e os simuladores comerciais de phishing surgindo como cogumelos após uma chuva, encontrar uma demonstração gratuita parece uma tarefa fácil. Isto é, até que você realmente tente. Na maioria dos casos, o melhor que você consegue depois de muita pesquisa é uma campanha gratuita gerenciada pelo fornecedor ou uma conta de demonstração com tantas limitações que nem mesmo dá uma boa compreensão dos recursos da versão completa, muito menos fornecer a você uma ferramenta real que possibilite usar com eficácia para criar e gerenciar várias campanhas de phishing. O cenário mais provável para plataformas de phishing SaaS é uma demonstração agendada, que pode ou não resultar na obtenção de acesso a uma versão do produto que você pode realmente usar. Há, no entanto, uma exceção a essa regra, que você verá no topo de nossa lista.

Os cinco melhores simuladores de phishing

1. Infosec IQ: Inclui um Teste de Risco de Phishing gratuito que permite lançar uma campanha de phishing simulada automaticamente e receber a taxa de phishing de sua organização em 24 horas.

Você também pode acessar a ferramenta de simulação de phishing em grande escala do Infosec IQ , PhishSim, para executar simulações sofisticadas para toda a sua organização.O PhishSim contém uma biblioteca de mais de 1.000 modelos de phishing, anexos e páginas iniciais de entrada de dados. Os modelos  são adicionados semanalmente, permitindo que você instrua os funcionários sobre os golpes de phishing mais atuais. 

Quer criar seus próprios e-mails de phishing? PhishSim tem um criador de modelos de arrastar e soltar para que você possa criar suas campanhas de phishing de acordo com suas especificações exatas.

Inscrever-se para uma conta Infosec IQ gratuita dá a você acesso total à biblioteca de modelos PhishSim e ferramentas educacionais, mas você precisará falar com um representante do Infosec IQ para poder lançar uma campanha PhishSim gratuita.

A Infosec oferece uma demonstração gratuita e personalizada da plataforma simulada de phishing e conscientização de segurança do Infosec IQ. Clique aqui para começar .

2. Gophish: Como uma plataforma de phishing de código aberto, o Gophish acerta. É compatível com a maioria dos sistemas operacionais, a instalação é tão simples quanto baixar e extrair uma pasta ZIP, a interface é simples e intuitiva e os recursos, embora limitados, são cuidadosamente implementados. 

Os usuários são facilmente adicionados, manualmente ou por meio da importação de CSV em massa. Os modelos de e-mail são fáceis de criar (não há nenhum incluído, porém, com um repositório com suporte da comunidade iniciado) e modificar (o uso de variáveis ​​permite uma fácil personalização), a criação de campanhas é um processo simples e os relatórios são agradáveis ​​de se olhar e podem ser exportado para o formato CSV com vários níveis de detalhe. 

Principais desvantagens: sem componentes de educação de conscientização e sem opções de programação de campanha.

2

3. LUCY: O primeiro item pago de nossa lista, LUCY oferece um download sem complicações da versão gratuita (comunidade) da plataforma. Você só precisa do seu endereço de e-mail e nome, e pode fazer o download do LUCY como um dispositivo virtual ou um script de instalação do Debian. A interface da web é atraente (embora um pouco confusa) e há muitos recursos a serem explorados:

Foi projetado como uma plataforma de engenharia social que vai além do phishing. O elemento de conscientização também está presente com módulos interativos e questionários. Então, por que não colocamos LUCY no topo da lista? Porque estamos falando sobre simuladores de phishing gratuitos, e a versão da comunidade do LUCY tem muitas limitações para ser usada com eficácia em um ambiente corporativo. Alguns recursos importantes não estão disponíveis sob licença da comunidade, como exportação de estatísticas de campanha, execução de ataques de arquivo (anexo) e, o mais importante, opções de programação de campanha. Com isso, a versão gratuita do LUCY dá uma amostra do que a versão paga é capaz, mas não vai muito além disso.

3

4. Kit de ferramentas de phishing simples (sptoolkit): Embora essa solução possa faltar no departamento de atratividade da GUI em comparação com algumas das opções anteriores, há um recurso importante que a coloca no topo de nossa lista. 

O Simple Phishing Toolkit oferece uma oportunidade de combinar testes de phishing com educação de conscientização de segurança, com um recurso que (opcionalmente) direciona os usuários de phishing a uma página de destino com um vídeo de educação de conscientização. Além disso, existe um recurso de rastreamento para os usuários que concluíram o treinamento. 

Infelizmente, o projeto sptoolkit foi abandonado em 2013. Uma nova equipe está tentando dar uma nova vida a ele, mas no momento, a documentação é escassa e espalhada por toda a internet, tornando a implementação realista em um ambiente corporativo uma tarefa difícil .

4

5. Phishing Frenzy: Embora este aplicativo Ruby on Rails de código aberto seja projetado como uma ferramenta de teste de penetração, ele possui muitos recursos que podem torná-lo uma solução eficaz para campanhas internas de phishing. 

Talvez o recurso mais importante seja a capacidade de visualizar estatísticas detalhadas da campanha e salvar facilmente as informações em um arquivo PDF ou XML. Você provavelmente pode adivinhar a parte “porém” que está por vir: Phishing Frenzy é um aplicativo baseado em Linux, cuja instalação não deve ser feita por um novato.

5

Hey,

o que você achou deste conteúdo? Conte nos comentários.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *