Neste artigo, você aprenderá sobre as configurações de Evasão de phishing falso positivo na seção Phishing das Configurações da conta no console do KSAT. Caso você esteja executando uma campanha de phishing e observe resultados atípicos, isso pode indicar a ocorrência de cliques falsos. Ao revisar os resultados da campanha, se você observar uma taxa de cliques de 100% ou endereços IP que não pertencem à sua organização, isso pode indicar falsos positivos. As configurações Evasão de phishing falso positivo podem minimizar incidências de falsos positivos, proporcionando resultados mais precisos em suas campanhas de phishing. Para obter mais informações sobre cliques de bots, consulte a seção Como identificar cliques de bots do artigo Como identificar e corrigir falsos positivos.

Falsos positivos em simulações de phishing geralmente ocorrem devido a práticas inadequadas de lista branca, interferência de leitores de links ou políticas de segurança configuradas incorretamente. Para minimizar esses problemas, certifique-se de que seus filtros de spam estejam configurados corretamente para excluir os e‑mails de phishing da KnowBe4 da verificação de links e de atividades de sondagem.

Verifique se os hosts inteligentes e as políticas de entrega avançada estão alinhados às configurações da sua campanha. Ao investigar falsos positivos disparados por leitores de links, revise suas configurações de lista branca e colabore com os administradores de TI para confirmar que as configurações de segurança atendem aos padrões da organização enquanto reduzem a ocorrência de falsos positivos.

Como habilitar as configurações de evasão de phishing falso positivo

Chamamos de falsos positivos as falhas em campanhas de phishing que não são causadas por um usuário clicando em um link de phishing. Se não forem resolvidos, os falsos positivos podem tornar imprecisos os resultados das campanhas de phishing em seus Relatórios de teste de phishing.

A evasão de phishing falso positivo funciona rastreando quando um link oculto em um Teste de phishing (PST) enviado é acessado. As falhas de phishing que ocorrerem depois que esse link oculto for acessado serão sinalizadas e ignoradas se acontecerem no período configurado em Duração das falhas de bots ignoradas. Além disso, os endereços IP de falhas associadas a bots e de falhas reais em testes de phishing são comparados por meio da configuração Correspondência de endereço IP das falhas de bots ignoradas.

Você pode habilitar e personalizar as configurações de Evasão de phishing falso positivo na seção Phishing das Configurações da conta. Veja as capturas de tela e a lista abaixo para obter mais informações sobre as configurações dessa seção:

1. Ignorar falhas de phishing associadas a bots: marque essa caixa de seleção para ignorar as falhas de phishing associadas a bots que ocorrem logo após o acesso a um link oculto. Quando essa configuração é habilitada, as opções Duração das falhas de bots ignoradas e Correspondência de endereço IP das falhas de bots ignoradas são exibidas.

   

2. Duração das falhas de bots ignoradas: aqui, você pode selecionar por quanto tempo, após o acesso a um link oculto, as falhas de phishing associadas a bots devem ser ignoradas. As opções disponíveis são Conservadora (5 segundos), Equilibrada (10 segundos) e Inclusiva (30 segundos).
3. Correspondência de endereço IP das falhas de bots ignoradas: você pode selecionar critérios de correspondência para ignorar falhas de phishing associadas a bots com base na comparação entre o endereço IP do link oculto acessado e o endereço IP das possíveis falhas de phishing associadas a bots. As opções são Nenhuma correspondência, Dois primeiros octetos e Correspondência exata. A opção Dois primeiros octetos fará a correspondência de endereços IP com base no identificador de rede de Classe B. Por exemplo, se o endereço IP for 54.70.53.60, ele procurará endereços IP na sub-rede 54.70.0.0/16.

   

Como visualizar detalhes de falhas de phishing associadas a bots que foram ignoradas

Depois de habilitar a configuração Ignorar falhas de phishing associadas a bots, as falhas ignoradas em seus testes de phishing poderão ser visualizadas na página Usuários > Falhas ignoradas das suas campanhas de phishing.

Consulte a captura de tela e a lista abaixo para obter uma explicação dos dados presentes nessa seção:

1. Nome e e-mail: essa coluna exibe o nome e o endereço de e-mail da falha associada a bots que foi ignorada.
2. Data e hora: essa coluna exibe a data e a hora da falha associada a bots que foi ignorada.
3. Intervalo de eventos de bot: essa coluna exibe o tempo, em segundos, após o acesso a um link oculto durante o qual as falhas de phishing associadas a bots foram ignoradas.
4. Tipo de falha ignorada: essa coluna exibe o tipo de falha associada a bots que foi ignorada; neste caso, “Clicado”.
5. Endereço IP: essa coluna exibe o endereço IP da falha associada a bots que foi ignorada.
6. Navegador: essa coluna exibe o navegador utilizado na falha associada a bots, como o Chrome.
7. Versão do navegador: essa coluna exibe a versão do navegador utilizado pela falha associada a bots.
8. SO: essa coluna exibe o sistema operacional utilizado para a falha associada a bots, como o Mac.
9. Eventos de bot: essa coluna exibe o número de falhas ignoradas para esse usuário. Observe que esse contador para em 5, e eventos adicionais de bots não atualizarão os demais dados desta linha. Você verá “5+” na coluna Eventos de bot quando esse evento ocorrer.
10. Converter em falha na campanha (ícone de lixeira): quando você seleciona esse ícone, o console converte as falhas de bot ignoradas em falhas da campanha de phishing. Mais informações sobre como esse recurso funciona são explicadas abaixo.
11. Prévia (ícone de envelope): esse ícone, quando selecionado, exibirá uma prévia do e-mail da campanha de phishing.

Como converter falhas ignoradas em falhas reais

Você pode converter falhas de bot ignoradas em falhas reais da campanha de phishing se acreditar que ocorreu um falso negativo. Se você acreditar que um usuário falhou em um teste de phishing e o console exibir um evento de falha ignorada em vez de uma falha de phishing, você poderá converter a falha de bot ignorada em uma falha da campanha de phishing.

Para concluir esse processo de conversão, siga as etapas abaixo:

1. No console do KSAT, acesse Phishing > Campanhas e selecione sua campanha de phishing.
2. Vá para Usuários.
3. À direita da seção Usuários, clique em Falha ignorada.
4. Quando você identificar uma falha ignorada que deseja converter em uma falha real de phishing, clique no ícone de lixeira no lado direito da tela.

   

5. Será exibida uma confirmação perguntando se você deseja converter o evento de bot em uma falha da campanha, já que essa ação é irreversível.

   

6. Clique no botão Confirmar.
7. Uma falha ignorada só pode ser convertida em falha de phishing uma única vez. O ícone de lixeira ficará acinzentado depois que a falha ignorada for convertida em uma falha de phishing.

   

8. O Tipo de falha ignorada ficará visível após a conversão em uma falha de phishing. Por exemplo, na captura de tela abaixo, o Tipo de falha ignorada é uma falha do tipo Clicado.