Um dos vice-presidentes acabou de me encaminhar um e-mail de phishing perguntando se era legítimo. O e-mail dizia: "Sua conta Microsoft foi comprometida. Clique aqui para verificar sua identidade." O link foi para "micros0ft-secure-login(dot)net" (repare no zero em vez do O). Respondi: "Esta é uma tentativa sofisticada de spear-phishing usando falsificação de domínio. Escalei isso para nossa equipe de Operações de Segurança para análise de ameaças. Por favor, apague o e-mail e não clique em nenhum link." Não há equipe de Operações de Segurança. Sou só eu. Mas encaminhei o e-mail para o endereço de denúncia de phishing da Microsoft, marquei como tratado no nosso sistema de tickets e enviei um lembrete para toda a empresa sobre "aumento da atividade de phishing no primeiro trimestre." O vice-presidente respondeu agradecendo pela minha "vigilância" e "resposta rápida". Tudo isso me levou 3 minutos. Mas ao usar expressões como "sofisticado" e "análise de ameaças", transformei um e-mail básico de phishing em uma quase crise que interceptei heroicamente. Segurança não é sobre prevenir problemas. É sobre garantir que todos saibam que você os impediu.