Com relatórios recentes que identificam o phishing como um dos problemas mais persistentes e predominantes no domínio da cibersegurança, é importante não só compreender o nível de risco que a tua organização enfrenta, mas também a melhor forma de o mitigar.

Os esquemas de phishing já existem há algum tempo, mas não mostram sinais de abrandamento tão cedo. Pelo contrário, estão em constante evolução. No quarto trimestre de 2016, houve um  Aumento de 45% nos ataques de Business Email Compromise (BEC) em comparação com o quarto trimestre de 2015. Isto significa que os cibercriminosos estão a apostar mais na exploração do fator humano dentro da tua organização do que na implementação de Trojans e ciberataques automatizados.

Então, como podes proteger a tua empresa contra um ataque de phishing?

1. Formação de sensibilização dos empregados para o fenómeno do phishing

Pode ser um cliché nesta altura, mas é verdade, os teus empregados são a tua melhor defesa quando se trata de cibersegurança geral e de proteger a tua organização de um ataque de phishing. Recentemente, assistimos ao colossal ataque de ransomware WannaCry. Este ataque mostrou como um simples e-mail de phishing, clicado por um funcionário desavisado, pode ser tudo o que é preciso para desencadear um grande ataque cibernético que pode rapidamente infetar uma rede inteira. Este ataque demonstrou como a tua firewall humana é vital dentro do teu sistema de segurança mais amplo. Por isso, é muito importante investir em eLearning de cibersegurança de alta qualidade sobre como detetar e-mails suspeitos e quais os passos a dar quando fores vítima de um esquema de phishing. Da mesma forma, podes investir em exercícios simulados de phishing para a tua organização, utilizando o nosso sofisticado produto MetaPhish.

2. Assegura-te de que tens um bom dispositivo de proteção contra spam e de gestão unificada de ameaças (UTM)

Escusado será dizer que, para uma organização estar o mais protegida possível de um esquema de phishing, é necessário utilizar diferentes tipos de segurança. Pode parecer um investimento pesado agora, mas duplicar ou triplicar os teus métodos de proteção cibernética pode poupar-te muito tempo e dinheiro a longo prazo! Os protectores anti-spam e UTMs de alta qualidade, adquiridos a nomes conceituados no mercado, são essenciais para qualquer organização que pretenda combater os ataques de phishing, uma vez que a maioria destes e-mails fraudulentos é apanhada nas redes. No entanto, como alguns destes e-mails são altamente sofisticados, é importante ter consciência de que as protecções anti-spam, por si só, não são a resposta definitiva e que a formação de sensibilização dos funcionários também é crucial.

3. Implementa orientações para os trabalhadores

Deves ter um registo claro e seguro das informações que são sensíveis e que não devem ser divulgadas. Deves também limitar o número de funcionários com acesso a estes dados, de modo a minimizar o risco de fuga ou de entrega a cibercriminosos através de um  e-mail de phishing. Devem ser implementadas diretrizes claras para instruir os funcionários sobre a forma como devem lidar com informações importantes da empresa. Também é uma boa ideia implementar políticas baseadas nestas diretrizes que criem consciência em toda a empresa e demonstrem que os teus funcionários estão informados.

4. Implementa uma política de segurança da informação pessoal

Para minimizar o risco, vale a pena considerar a implementação de uma política que estabeleça que todas as informações sensíveis, por exemplo, os dados bancários da empresa, só podem ser comunicadas de forma segura por telefone ou através de sites https com facilidades de pagamento seguras, nunca por e-mail. Assegurar que os seus empregados estão conscientes de que o correio eletrónico é um meio arriscado para fornecer acesso a informações sensíveis da empresa é fundamental para reduzir o risco envolvido, uma vez que não se pode ter a certeza de quem está do outro lado de um correio eletrónico. Quando as transferências bancárias são solicitadas por correio eletrónico (como é comum nos ataques sofisticados de spear phishing), a melhor prática é telefonar sempre diretamente à pessoa envolvida e verificar se o pedido partiu dela. Implementa isto como uma prática comum e reduzirás significativamente o teu risco.

5. Altera regularmente os teus dados de acesso às contas e utiliza dados de acesso diferentes para cada conta

O ditado aqui na MetaCompliance é “As palavras-passe são como as calças” e é verdade.
Altera as tuas palavras-passe e os teus detalhes de início de sessão regularmente e não os deixes por aí! Quanto mais frequentemente alterares os teus detalhes de login para as contas da empresa, menor será a probabilidade de os hackers (que talvez tenham obtido acesso às tuas contas no passado) voltarem uma e outra vez para obter mais informações. Da mesma forma, ter apenas um conjunto de dados de início de sessão para todas as contas da empresa é uma má ideia! Pensa só, terias apenas uma chave mestra que dá acesso a qualquer divisão da tua organização? Nas circunstâncias infelizes em que um pirata informático consegue aceder a uma conta utilizando detalhes obtidos através de um e-mail de phishing, podes ter a certeza de que ele utilizará os mesmos detalhes para tentar invadir as tuas outras contas. Não lhes facilites a vida!

Tens outros métodos para proteger a tua empresa contra ataques de phishing? Ou existe alguma outra abordagem empresarial a este tipo de ciberataques que possas ver ser introduzida no futuro.