O que são esquemas de phishing?
As phishing scams, uma tática enganosa, são normalmente utilizadas pelos cibercriminosos para levar a cabo atividades nefastas. A maioria das pessoas já se deparou com um e-mail de phishing em algum momento. Apesar da sua prevalência, os cibercriminosos continuam a utilizar este método para instalar malware, roubar credenciais e cometer fraudes, incluindo o Business Email Compromise (BEC).
Um relatório de 2021 da CISCO sobre tendências de ameaças à segurança cibernética coloca o phishing e a cripto-mina como as duas principais ameaças comerciais. O relatório também concluiu que 86% dos empregados das organizações clicam em ligações de phishing.
A proteção contra esquemas de phishing é vital para manter a sua organização segura, uma vez que 90% das violações de dados têm origem em ataques de phishing.
Aqui estão 10 maneiras de assegurar que a sua organização não se torne vítima de um esquema de phishing.
10 maneiras de prevenir phishing scams
A protecção contra esquemas de phishing é um caso de utilização de múltiplas camadas de protecção:
Como é um ataque de phishing?
Os cibercriminosos trabalham arduamente para fazer com que os e-mails de phishing pareçam legítimos. Como resultado, os esquemas de phishing são cada vez mais sofisticados e muitas vezes visam indivíduos e empresas específicos. Uma campanha de phishing direccionada é chamada spear phishing. Esta forma de phishing envolve a recolha de informações para adaptar os e-mails de phishing que são difíceis de diferenciar dos e-mails genuínos.
Os empregados de todas as unidades de uma empresa devem ser treinados para detectar sinais de phishing. As campanhas de phishing personalizadas utilizam frequentemente marcas comerciais bem conhecidas como o Microsoft Office 365, que são utilizadas para esconder inteligentemente um esquema de phishing.
As plataformas de simulação de phishing são uma forma ideal de formar os funcionários para detectarem uma tentativa de phishing. Para além disso, as plataformas avançadas de simulação de phishing, como o MetaPhish, permitem que uma empresa adapte estas simulações com base nas funções dentro de uma organização, para que até as tentativas de spear phishing possam ser evitadas.
Leia mais detalhes sobre phishing no MetaCompliance Ultimate Guide to Phishing.
Não clique em links desconhecidos
Os utilizadores finais e os consumidores foram treinados por uma experiência de utilizador inteligente e por tácticas de IU para clicarem em hiperligações para tornar a sua vida em linha mais fácil de gerir. Mas isto levou a que os cibercriminosos explorassem este comportamento.
O desejo de clicar precisa de ser interceptado para evitar um ataque cibernético. Uma regra simples pode distinguir entre prevenir um ataque cibernético e ser uma estatística de segurança cibernética - "não clique num link de um e-mail a menos que tenha 100% de certeza de que é válido". Se um e-mail ou mensagem de texto contiver uma ligação, pare sempre, e pense antes de clicar.
Explore mais informações no artigo O que fazer se clicar numa hiperligação de phishing?
Não descarregar anexos não verificados
Escusado será dizer, mas mesmo assim acontece; os empregados abrem um anexo, e a sua organização fica infectada com malware. Não descarregue um anexo se não estiver 100% seguro de que é legítimo.
Um recente ataque de phishing demonstra a sofisticação dos ataques que utilizam anexos infectados. A campanha de phishing SVCReady utiliza um tipo particular de propriedade inerente a um documento do Microsoft Word, conhecido como shellcode, para entregar um carregador numa máquina. A máquina infectada é então utilizada para recolher informação sensível, montar um centro de controlo remoto e, geralmente, ficar pendurada até que o atacante decida entrar para matar, instalar mais malware, e/ou roubar dados.
Não sobrepor-se às redes sociais
Os cibercriminosos recolhem informações sobre o seu alvo para que os seus ataques de phishing sejam adaptados e mais susceptíveis de enganar os destinatários. Os meios de comunicação social são um tanque ideal para phishing para informação. Os cibercriminosos investigarão a empresa e os seus empregados, procurando informação que possa ser utilizada para criar campanhas de phishing de lança.
As redes sociais são também um local onde a partilha excessiva pode resultar na partilha de palavras-passe. Por exemplo, um relatório identificou a partilha generalizada de palavra-passe em canais de colaboração inseguros como a Slack. Assegure-se de que os seus empregados conhecem os perigos de fornecer dados privados e palavras-passe em canais que incluem plataformas de Slack, discordância, e social media.
Estar ciente da higiene de senhas
A partilha e a reutilização de palavras-passe aumentam as probabilidades de uma campanha de phishing resultar no comprometimento de dados e sistemas de TI. A partilha de palavras-passe é um problema grave nas organizações. De acordo com um inquérito da Google, 62% das pessoas reutilizam palavras-passe e 52% reutilizam palavras-passe para aceder a várias contas.
Além disso, 34% dos empregados partilham palavras-passe com os colegas de trabalho. Se as palavras-passe forem "passadas" e reutilizadas, as pessoas têm menos probabilidades de ver o valor da segurança e, por conseguinte, têm uma atitude mais laissez-faire em relação à segurança das palavras-passe. Fazer da higiene da palavra-passe um tema central na Formação de Sensibilização para a Segurança.
Patch no tempo
As campanhas de phishing por correio electrónico dependem frequentemente de uma vulnerabilidade de segurança explorável. Por exemplo, o ataque de phishing de 2021 Zimbra explorou vulnerabilidades no cliente de email Zimbra através de um email de phishing. Portanto, assegurar que as aplicações de software sejam corrigidas o mais cedo possível é vital para as medidas anti-phishing em curso.
Manter as contas em dia
As antigas contas online são úteis para os criminosos informáticos que as podem utilizar para criar identidades sintéticas e cometer fraudes. Estas contas podem também ser utilizadas como parte de um esquema BEC ou para extrair informações para novos ataques cibernéticos.
Se tiver uma conta de correio electrónico antiga ou em linha que nunca utiliza, feche a conta, ou restabeleça a sua utilização e mantenha uma verificação regular da mesma. Certifique-se de que altera a palavra-passe frequentemente e verifique se a HaveIBeenPwnd foi exposta uma conta de correio electrónico ou palavra-passe durante uma violação de dados.
Utilizar 2FA ou MFA (mas ainda assim ter cuidado)
Uma prática recomendada para ajudar a proteger contra as fraudes de phishing é aplicar um segundo fator (2FA) ou autenticação multifactor (MFA) sempre que esta medida for suportada. No entanto, a 2FA ou a MFA não garantem que um ataque de phishing não seja bem sucedido, apenas reduzem o risco.
Medidas de 2FA ou MFA mal implementadas, por exemplo, podem ser inúteis na prevenção de ataques de phishing. Utilize a autenticação de dois fatores ou a autenticação multifator, mas reforce-a com uma formação de sensibilização para a segurança.
Relatar qualquer coisa suspeita
Encorajar os funcionários a denunciar um e-mail ou texto suspeito para ajudar a evitar a ocorrência de um incidente. Criar um ambiente que encoraje a cooperação em matéria de segurança. Manter uma porta aberta e uma mente aberta sobre os funcionários que clicam num link malicioso, dando-lhes o espaço para sentirem que podem comunicar um erro.
A comunicação de incidentes ajudará a proteger a sua organização contra esquemas de phishing, mas a comunicação deve ser fácil e baseada num sistema avançado de comunicação concebido para escalar e fornecer opções de triagem.
Considerar o uso de ferramentas anti-phishing
A formação de sensibilização para a segurança faz parte de um conjunto mais vasto de medidas que podem ser utilizadas para proteger contra as burlas de phishing. Outras medidas que podem ser utilizadas para adicionar camadas de proteção incluem: Software de filtragem de DNS que ajuda a impedir que um funcionário navegue para um sítio Web malicioso; e um filtro de spam de correio eletrónico baseado na nuvem que pode impedir que os e-mails de phishing entrem na caixa de entrada de um funcionário.
No entanto, estas medidas de segurança por si só não são suficientes. Os cibercriminosos que desenvolvem e-mails de phishing estão cada vez mais a conceber os e-mails para escapar à detecção. Só utilizando métodos de múltiplas camadas, incluindo os conhecimentos do seu empregado sobre phishing, é que uma organização pode proteger contra esquemas de phishing.