/
[HSC MindAware] - Motivos Técnicos para Falsos Positivos

[HSC MindAware] - Motivos Técnicos para Falsos Positivos

Durante a execução das campanhas de simulação de phishing, a solução registra os cliques realizados nas URLs contidas nos e-mails simulados, a fim de medir a suscetibilidade dos usuários a ataques de engenharia social. No entanto, é importante ressaltar que não é possível garantir com total precisão que todos os cliques registrados foram, de fato, realizados conscientemente pelos usuários finais.

Motivos

  1. Varredura Automática por Sistemas de Segurança: Soluções de segurança de e-mail (como filtros antiphishing, sandboxes e scanners de URL) muitas vezes acessam automaticamente os links presentes nos e-mails para análise de segurança. Essas varreduras automatizadas podem gerar registros de clique mesmo sem ação do usuário.

  2. Reescrita e Monitoramento de Links por Gateways de Segurança: Ferramentas como Microsoft Defender for Office 365,entre outras, costumam reescrever os links para monitoramento e podem simular acessos durante a análise.

  3. Ferramentas Antivírus e Antimalware: Soluções instaladas nos endpoints podem acessar URLs de forma automatizada como parte de sua análise de comportamento ou reputação.

  4. Previsualização por Clientes de E-mail: Alguns clientes de e-mail realizam a pré-carga de links (por exemplo, ao gerar visualizações rápidas), o que também pode ser interpretado como um clique.

  5. Plugins e Extensões de Navegadores: Plugins de segurança e extensões de navegador podem verificar URLs automaticamente durante a navegação, resultando em registros de cliques sem envolvimento do usuário.

Recomendações

Para garantir maior confiabilidade nos dados das simulações e minimizar a ocorrência de falsos positivos, recomenda-se:

  1. Criar Exceções das Ferramentas de Segurança:

    1. Adicionar os domínios utilizados pela solução de simulação (ex: *.mindaware.com.br) à lista de exclusão (allowlist/whitelist) dos seguintes sistemas:

      1. Gateways de e-mail (ex: Microsoft Defender, HSC MailInspector, etc.)

      2. Firewalls de perímetro

      3. Antivírus e EDRs instalados nas estações

      4. Plugins/extensões de navegadores com funções de análise de segurança
        Obs: As URLs de simulação não contêm conteúdo malicioso e são utilizadas exclusivamente para fins de conscientização e testes internos

  2. Evitar a Reescrita de Links em Campanhas:

    1. Sempre que possível, configure a política do seu gateway para não reescrever ou inspecionar os links utilizados nas campanhas simuladas.

    2. Se a reescrita for obrigatória, configure exceções por domínio ou caminho das URLs.

  3. Testar antes da Campanha Real:

    1. Realize campanhas-piloto com um grupo reduzido de usuários ou contas de teste para verificar se há registros indevidos de cliques.

    2. Use logs e relatórios da solução para identificar padrões de acessos automatizados.

  4. Adicionar Etapa de Simulação de Envio de Dados:

    1. A plataforma permite configurar a campanha com um passo adicional após o clique, simulando o envio de dados sensíveis (como um login e senha fictícios) por meio de um formulário.

    2. Esse comportamento só pode ser executado por um usuário real, o que torna o registro de interação muito mais confiável e reduz significativamente os falsos positivos, pois ferramentas automáticas não costumam preencher nem submeter formulários.

Conclusão

Apesar das medidas de mitigação, é importante compreender que nenhuma solução é imune a 100% de falsos positivos, devido ao comportamento automatizado de muitas ferramentas de segurança atuais.

Para apoiar o processo de validação e análise, a plataforma HSC Mindaware oferece dados detalhados sobre os eventos de clique, como:

  • Endereço IP

  • Data e hora do acesso

  • Geolocalização estimada

  • Sistema operacional e navegador utilizados

  • Informações do dispositivo

Esses dados permitem ao administrador de segurança avaliar com mais precisão a origem dos acessos e identificar com maior confiança se houve interação real por parte do usuário ou se trata-se de um acesso automatizado.

Além disso, o uso do formulário de simulação de envio de dados como etapa complementar nas campanhas reforça significativamente a confiabilidade dos resultados, ao exigir uma ação consciente por parte do usuário.

Dúvidas

Caso ainda tenha mais dúvidas quanto a esse procedimento, entre em contato conosco.

 

Related articles