A segurança cibernética está a tornar-se a última tendência. Já todos lemos sobre as violações da TalkTalk, Dropbox e Yahoo, o que significa que estas violações só irão aumentar num futuro próximo.

Como seres humanos, estamos predispostos a cometer erros, pelo que é necessário educar o teu pessoal sobre o que deve ter em atenção. Podes proteger a tua organização sensibilizando o teu pessoal para evitar clicar em ligações de correio eletrónico suspeitas, deixar de escrever as suas palavras-passe num post-it ou saber que não deve ligar-se a redes Wi-Fi públicas quando trabalha à distância.

Nesta série de blogues, vamos voltar ao básico, por isso vamos ver que tipo de ameaças de phishing existem. Para te armares contra um potencial ataque de phishing, deves tirar partido das barreiras técnicas, mas também deves recorrer à sensibilização do pessoal. Em última análise, a sensibilização do pessoal ajudará o teu pessoal a reconhecer as tácticas comuns utilizadas pelos cibercriminosos num e-mail de phishing.

  • Phishing

O filtro de spam das tuas contas de correio eletrónico pessoais ou do trabalho geralmente detecta as mensagens não solicitadas, mas, por vezes, estas podem chegar à tua caixa de entrada principal. É aqui que tens de ser capaz de detetar um e-mail de phishing. O facto de o teu filtro de spam te ajudar de vez em quando e tirar os e-mails de spam da tua vista é tanto uma ajuda como um obstáculo. O filtro ajuda-te porque não te sentes tentado a clicar nele diretamente (longe da vista, longe do coração), mas isso impede-te de ver as tácticas que os piratas informáticos utilizam e, por isso, pode impedir-te de perceber a diferença entre um e-mail genuíno e um e-mail de phishing.

Por exemplo, uma pessoa contacta-te para dizer que foste identificado como o último descendente vivo de um financeiro rico e que tens direito à sua fortuna. O senso comum diz-te que isso é praticamente impossível. Além disso, gostarias de pensar que receberias um documento legal que confirmasse tal notícia, em vez de um e-mail de uma conta Hotmail.

Se conseguires detetar estes sinais de aviso, isso é bom. Os e-mails de phishing generalizados destinam-se a apanhar-te desprevenido, mas as falsas promessas ou a falta de gramática utilizada no e-mail devem alertar-te para os perigos. Mas – os cibercriminosos estão a tornar-se mais inteligentes.

Um teste de ransomware é uma solução para testar o comportamento dos teus empregados em relação a e-mails de phishing. Uma solução de software de phishing simulado pode fornecer à administração relatórios sobre a reação dos empregados a esses e-mails. Os relatórios indicarão quais os membros do pessoal que necessitam de realizar um módulo de formação sobre phishing.

  • Spear Phishing

Este é um método de phishing extremamente sofisticado. Os cibercriminosos que enviam e-mails de spear phishing fizeram o seu trabalho de casa; terão adaptado o conteúdo do e-mail especificamente para ti. Para o conseguir, monitorizaram-te a ti e aos teus colegas nas redes sociais e, eventualmente, utilizarão esta informação para criar o e-mail perfeito para ti, que será utilizado para ganhar a tua confiança.

O e-mail que recebes parecerá ser de um indivíduo ou de uma empresa. Junta a esta mistura as informações pessoais que eles recolheram e é uma receita para o desastre. Em comparação com um e-mail de phishing normal, um e-mail de spear phishing é dirigido pessoalmente a ti e inclui informações que te atraem.

E se recebesses um e-mail assinado pela tua equipa de apoio informático para te dizer que a tua conta de e-mail está a ficar sem espaço? Este tipo de e-mail parece um pouco mais plausível. As assinaturas de e-mail podem parecer oficiais: isso é muito bom, mas deves ter cuidado com a ortografia e a gramática no corpo do e-mail, com a pessoa a quem o e-mail se dirige (referem-se a ti pelo nome ou simplesmente “utilizador”?) e com as ligações fornecidas.

  • Caça à baleia

Esta forma de ataque de phishing visa diretamente os membros superiores do pessoal e a direção, mas o objetivo continua a ser o mesmo: obter informações.

O cibercriminoso mascara-se como uma fonte fiável ou de confiança, muito semelhante ao spear phishing. No entanto, um ataque whaling é concebido para enganar os membros superiores do pessoal, uma vez que é mais provável que tenham acesso a informações financeiras importantes da empresa e, possivelmente, até tenham a capacidade de autorizar transacções financeiras ou pagamentos.

Por exemplo, digamos que és o Gestor Financeiro Sénior e recebes um e-mail do teu colega sobre algumas facturas que requerem aprovação para pagamento imediato. Anexa também uma pasta zip ao e-mail. Entras automaticamente em pânico e o teu cérebro entra em parafuso e pensa : “Será que me esqueci de as autorizar? Tenho a certeza que não – processei todas as facturas na segunda-feira”. Neste caso, a tua reação automática seria clicar no anexo da pasta zip e verificar as facturas para avivar a memória.

É aqui que tens de PARAR. Em vez de clicar no anexo, verifica os teus próprios registos para ver se o pagamento foi aprovado. Poupa alguns segundos extra (e a reputação da tua empresa) verificando os teus registos antes de acederes a conteúdos descarregáveis de um e-mail.

Se descarregaste a dita pasta zip, provavelmente continha um ficheiro suspeito que executaria um malware perigoso no teu computador ou portátil. Este programa pode até aceder à tua rede, causando danos potencialmente irreparáveis.

Conclusão

Muito simplesmente, os ataques de phishing podem destruir uma empresa com o simples clique de um botão. Basta que uma pessoa clique numa ligação ou descarregue um anexo e a reputação e os bens da sua empresa ficam em risco. Para combater a ameaça do phishing, as empresas precisam de investir na formação dos seus funcionários sobre o que devem ter em atenção.

Aqui na MetaCompliance, fornecemos software de simulação de phishing e conteúdos de eLearning que, em última análise, aumentarão a sensibilidade de uma organização a e-mails fraudulentos.

Sabias que demora apenas um minuto e vinte segundos para alguém abrir um e-mail de phishing? Em vez disso, aproveita esse tempo para pensar antes de clicar.