Perguntas frequentes e solução de problemas

Compartilhar

Este artigo é útil?

Última atualização:

Como identificar e corrigir falsos positivos

Se, ao executar uma campanha de phishing, você observar resultados atípicos, pode ser um sinal de cliques falsos. Ao revisar os resultados da campanha, se você observar uma taxa de cliques de 100% ou endereços IP que não pertencem à sua organização, isso pode indicar falsos positivos. Veja a seguir alguns dos motivos mais comuns para falsos positivos, além de dicas sobre como lidar com eles.

O que é considerado um clique?

Um clique ocorre quando o usuário interage com um link de phishing presente em um e‑mail de simulação. Porém, um clique pode ser registrado por outros motivos além da ação do usuário. Qualquer clique que não tenha sido causado por um usuário acessando um link de phishing é classificado como falso positivo. Veja abaixo alguns dos motivos mais comuns para a ocorrência de falsos positivos:

  • Inclusão inadequada do filtro de spam na lista branca. A inclusão inadequada na lista branca pode gerar cliques automáticos ou cliques de bots. Para saber como identificar se o clique foi gerado por um bot, consulte a seção Como identificar cliques de bots, abaixo.
  • Talvez seja necessário ampliar a lista branca. Seu filtro de spam pode precisar de uma ampliação da lista branca para que os e‑mails de simulação de phishing sejam excluídos da análise ou sondagem de links.
  • Filtros de e‑mail com pacotes de add-on de segurança que não foram incluídos na lista branca.
  • Soluções de segurança de ponto de extremidade ou programa antivírus.
  • Funções de prévia de links presentes nos sistemas operacionais de dispositivos móveis.
  • Programas de segurança incorporados a sistemas de gerenciamento de dispositivos móveis (MDM).
  • E‑mails de phishing que são encaminhados de um usuário para outro. Essa ação pode ser registrada como um clique porque o e‑mail encaminhado foi analisado em área restrita pelo servidor de e‑mail ou porque o destinatário do e‑mail encaminhado clicou no link.

Como identificar cliques de bots

Casos de inclusão inadequada ou incompleta na lista branca podem resultar em um clique de bot. Os cliques de bots são causados por um processo automatizado na sua infraestrutura. É possível identificar um clique de bot analisando os resultados da campanha de phishing. Veja abaixo algumas maneiras de reconhecer cliques de bots:

  • Os horários exibidos nas colunas Entregue, Aberto e Clicado são idênticos ou diferem por no máximo um minuto.
  • A guia Clicado indica que o navegador ou a versão do navegador não é o utilizado no seu ambiente ou está desatualizado.
  • O sistema operacional informado não está disponível para os usuários no seu ambiente.
  • O endereço IP pertence ao provedor de um dos seus produtos de segurança.

Endereços IP inesperados nos resultados da campanha

Quando um clique é registrado no console, o endereço IP correspondente ao local de origem do clique também é registrado. Veja a seguir alguns motivos que podem explicar a presença de endereços IP inesperados:

  • Caso o usuário clique no link usando um dispositivo móvel, o IP pode ser identificado como o da operadora de telefonia.
  • Quando o clique é feito a partir do Wi‑Fi residencial, ele é registrado com o endereço IP do provedor de internet (ISP) daquele local.
  • Se um usuário estiver em uma rede Wi‑Fi pública, o clique será registrado a partir da localização onde o usuário estava no momento do clique.
  • Se você ou um dos seus produtos utiliza um provedor de serviços hospedados, como a AWS, o endereço IP pode ser exibido como originado de outra região ou até de outro país. Alguns processos de análise de link podem não ser executados no dispositivo do usuário, sendo o link enviado para o centro de análise ou processamento de back-end do provedor de segurança.
  • Caso o URL seja enviado ao VirusTotal, o IP pode ser exibido como originado de outra localidade. Esse link pode ser enviado automaticamente por um produto que você utiliza ou pelo próprio usuário. Quando um URL é enviado ao VirusTotal, ele passa por análise para verificar se deve ser classificado como hostil em suas definições de ameaça. Às vezes, essa análise do link é instantânea. Outras vezes, esse procedimento pode demorar algumas horas. Esses endereços IP podem ser registrados como um fornecedor de segurança ou como um ISP.

Principais causas de falsos positivos

Os falsos positivos em simulações de phishing geralmente têm três causas principais:

  • Interferência de leitores de links: ferramentas de segurança que acessam links automaticamente antes que os usuários visualizem os e‑mails
  • Inclusão inadequada na lista branca: os domínios da KnowBe4 não estão devidamente isentos da verificação de segurança
  • Políticas de segurança incorretamente configuradas: filtros de spam ou regras de fluxo de e‑mail que entram em conflito com a entrega dos testes de phishing

Para minimizar falsos positivos, configure seus filtros de spam para excluir os e‑mails de phishing da KnowBe4 da análise e sondagem de links. Certifique-se de que os hosts inteligentes e as políticas de entrega avançada estejam alinhados às configurações da sua campanha. Ao investigar problemas relacionados a leitores de links, revise suas configurações de lista branca com os administradores de TI para equilibrar os requisitos de segurança com a precisão das métricas de treinamento.

Como evitar falsos positivos

Ter pleno conhecimento da sua infraestrutura é fundamental para evitar falsos positivos. Como existe uma grande variedade de produtos de segurança, pode ser útil consultar a documentação dos programas ou serviços que você utiliza para verificar se há uma seção sobre como isentar links ou domínios da verificação, análise ou sondagem de links.

Você também pode realizar campanhas de teste usando diferentes modelos em máquinas configuradas da mesma forma que as estações de trabalho dos usuários. Essas campanhas de teste podem mostrar se a configuração atual resultará em falsos positivos.

Garanta que os usuários relatem e‑mails exclusivamente pelo Phish Alert Button, e não pelo botão de phishing do servidor de e‑mail ou por ferramentas de terceiros.

Verifique se os seus produtos de segurança oferecem a opção de ampliar a lista branca. Se possível, inclua nossos domínios de link de phishing e nossos domínios de página de destino na lista branca. Essa etapa adicional pode ajudar a evitar falsos positivos. Para ver uma lista de nossos domínios de phishing raiz, navegue até a guia Phishing no console da KnowBe4 e selecione a subguia Domínios. Para obter mais informações sobre a subguia Domínios, consulte o artigo Como gerenciar domínios do link de phishing.

Se você ainda estiver enfrentando problemas com falsos positivos, entre em contato com a nossa equipe de suporte equipe de suporte.

Este artigo foi útil?

Usuários que acharam isso útil: 9 de 13

Não encontrou o que estava procurando?

Fale com o suporte