A ameaça contínua da COVID-19 alterou drasticamente o panorama empresarial. A mudança repentina das circunstâncias aumentou a superfície de ataque e apresentou uma abundância de novos desafios de segurança para as organizações.
Durante este tempo de incerteza, os cibercriminosos têm sido rápidos a tirar partido da situação, o que levou a um surto de ataques de phishing.
Segundo o Google, os golpistas estão a enviar 18 milhões de e-mails relacionados com o Covid-19 aos utilizadores do Gmail todos os dias, numa tentativa de persuadir as vítimas a descarregar software malicioso, roubar informação sensível, ou fazer doações para causas falsas.
O Gabinete de Estatísticas Nacionais (ONS) comunicou que 14,2 milhões de pessoas (44% do número total de adultos trabalhadores) trabalharam a partir de casa durante a pandemia do coronavírus.
A rápida transição para o trabalho à distância significou que muitas organizações não estavam preparadas para uma mão-de-obra à distância durante um período tão prolongado. É bem reconhecido que o phishing prospera no isolamento, incerteza e períodos de mudança e, como resultado, a pandemia criou a tempestade perfeita em que hackers, golpistas, e spammers podem explorar o público.
Num recente inquérito conduzido pelo Threatpost, 40% das empresas relataram ter visto um aumento de ataques cibernéticos, uma vez que estes permitiram o trabalho à distância.
Ameaças de pesca e trabalho a partir de casa
O trabalho à distância está a atrair mais ameaças à segurança cibernética por algumas razões, incluindo:
- Mais pessoas estão a utilizar redes domésticas, que provavelmente serão menos seguras. Como tal, os departamentos de TI não podem acompanhar de perto e salvaguardar o comportamento on-line dos empregados quando trabalham a partir de casa.
- Para muitos empregados, a crise COVID-19 foi a primeira vez que trabalharam a partir de casa durante um longo período de tempo. Os cibercriminosos sabem que estes indivíduos são mais vulneráveis devido à sua falta de familiaridade com práticas seguras de trabalho a partir de casa.
- Os cibercriminosos estão a ver a situação actual como uma oportunidade de tirar partido dos trabalhadores à distância. Os cibercriminosos maliciosos estão continuamente a ajustar as suas tácticas para tirar partido de novas situações, e a pandemia da COVID-19 não é excepção.
É provável que o aumento do trabalho doméstico esteja aqui num futuro previsível, mesmo após as actuais medidas de emergência relacionadas com a pandemia. No entanto, com algumas organizações a prepararem-se para regressar gradualmente ao ambiente de escritório, a incerteza continuará a ser um factor significativo. Como tal, é vital que os funcionários compreendam as consequências devastadoras que os ataques de phishing podem causar, bem como a forma de se protegerem a si próprios e à sua organização das ameaças de phishing.
Como o Phishing pode prejudicar o seu negócio
As violações de dados de um ataque de phishing podem causar perdas financeiras devastadoras e prejudicar a reputação de uma organização durante anos. De acordo com a IBM, o custo médio global de uma violação de dados subiu para uns espantosos 3,92 milhões de dólares.
Desde a perda de negócios a multas regulamentares e custos de reparação, as violações de dados têm consequências de grande alcance. Um ataque de phishing bem sucedido pode resultar em:
- Roubo de identidade
- Roubo de dados sensíveis
- Roubo de informação do cliente
- Perda de propriedade intelectual
- Roubo financeiro
- Transacções não autorizadas
- Danos reputacionais
- Fraude com cartão de crédito
- Instalação de malware ou de resgates
- Acesso a outros sistemas
- Dados vendidos a terceiros
Como evitar um ataque de Phishing
Identificar um e-mail de phishing tornou-se cada vez mais difícil à medida que os cibercriminosos aperfeiçoaram as suas competências e utilizam uma série de tácticas de engenharia social para convencer o destinatário a clicar numa ligação maliciosa ou a fornecer informações pessoais. Hoje em dia, os ataques de phishing são mais direccionados e sofisticados do que nunca.
À medida que os empregados se preparam para regressar ao escritório, campanhas recentes têm visto cibercriminosos lançarem ataques que exploram os trabalhadores antecipando actualizações dos seus empregadores sobre o regresso ao local de trabalho.
Ao encorajar os utilizadores a agir rapidamente e ao provocar curiosidade e medo, alguns estudos mostraram que a taxa de cliques em ataques de phishing subiu de menos de 5% para mais de 40% com esquemas de coronavírus.
Segundo a Intel, 97% das pessoas em todo o mundo são incapazes de identificar um email sofisticado de phishing. Apesar da natureza convincente destes e-mails, ainda existem alguns sinais de conto que nos podem alertar para a presença de um e-mail de phishing.
- Nunca clicar em ligações ou descarregar anexos sem confirmar a fonte.
- Verifique duas vezes o endereço do remetente para assegurar-se de que vem de uma fonte legítima.
- Verifique sempre duas vezes o URL da página web antes de iniciar sessão e nunca inicie sessão nos sítios, seguindo um link num e-mail. Apesar de parecer perfeitamente legítimo, se o URL não corresponder ao endereço apresentado, é uma indicação de que a mensagem é fraudulenta e susceptível de ser um e-mail de phishing.
- Leve sempre tempo a pensar sobre um pedido de informação pessoal, e se o pedido é apropriado. Uma empresa respeitável nunca enviará um e-mail aos clientes a pedir informações pessoais tais como número de conta, palavra-passe, pin ou questões de segurança. Consulte os nossos recursos sobre como detectar um esquema de phishing.
- Ignorar e apagar e-mails com gramática e formatação inesperadamente deficientes. Se detectar qualquer erro ortográfico ou má gramática dentro de um e-mail, é pouco provável que tenha vindo de uma organização não oficial e poderia indicar a presença de um e-mail de phishing. Saiba mais sobre as características de um ataque de phishing.
- As mensagens de ataque de phishing que têm as maiores taxas de resposta estão muitas vezes relacionadas com eventos com limite de tempo. Os cibercriminosos usam frequentemente um sentido de urgência para encorajar os destinatários a reagir imediatamente. Se não tiver a certeza se o pedido é legítimo, contacte a empresa directamente através do seu website oficial ou do número de telefone oficial.
- Seja cauteloso com mensagens de correio electrónico inesperadas. Tire sempre um momento para pensar "estarei eu à espera deste tipo de pedido? Se parecer suspeito ou demasiado bom para ser verdade, então provavelmente é.
Porque é importante a Consciencialização para o Phishing
medida que os cibercriminosos aumentam os seus esforços para explorar o público, a sensibilização é a arma mais poderosa contra estas ameaças e técnicas em evolução.
Os golpistas serão rápidos a tirar partido de quaisquer falhas na segurança, e as organizações devem continuar a dar poder e a educar os empregados para se manterem vigilantes. A segurança cibernética é responsabilidade de todos, e com tantos pontos de ataque potenciais, a chave para melhorar a segurança é criar uma cultura de consciência cibernética.
Criar uma força de trabalho mais consciente da segurança
Cyber Security Awareness for Dummies actua como um recurso indispensável para implementing mudança de comportamento e criação de uma cultura de consciência cibernética.
Neste guia, irá aprender:
- O que significa para a sua organização a consciência da Ciber-Segurança
- Como implementar uma campanha cibernética de sensibilização para o risco
- O papel crucial das políticas to estabelecer linhas de base seguras
- Como manter a dinâmica e o envolvimento do pessoal
- 10 melhores práticas de sensibilização para a Segurança Cibernética