O phishing é um método insidioso e cínico utilizado para promover as actividades nefastas dos cibercriminosos. Seria uma pessoa rara que não tivesse encontrado um e-mail de phishing, sob uma ou outra forma. Ainda assim, os cibercriminosos estão a utilizar a técnica para instalar malware, roubar credenciais, informações pessoais, e cometer fraudes como o Business Email Compromise (BEC).
Um relatório de 2021 da CISCO sobre tendências de ameaças à segurança cibernética coloca o phishing e a cripto-mina como as duas principais ameaças comerciais. O relatório também concluiu que 86% dos empregados das organizações clicam em ligações de phishing.
A protecção contra esquemas de phishing é vital para manter a sua organização segura, uma vez que 90% das violações de dados têm origem em ataques de phishing.
Aqui estão 10 maneiras de assegurar que a sua organização não se torne vítima de um esquema de phishing.
10 Maneiras de prevenir golpes de Phishing
A protecção contra esquemas de phishing é um caso de utilização de múltiplas camadas de protecção:
Aprender como se parece um ataque de Phishing
Os cibercriminosos trabalham arduamente para fazer com que os e-mails de phishing pareçam legítimos. Como resultado, os esquemas de phishing são cada vez mais sofisticados e muitas vezes visam indivíduos e empresas específicos. Uma campanha de phishing direccionada é chamada spear phishing. Esta forma de phishing envolve a recolha de informações para adaptar os e-mails de phishing que são difíceis de diferenciar dos e-mails genuínos.
Os empregados de todas as unidades de uma empresa devem ser treinados para detectar sinais de phishing. As campanhas de phishing personalizadas utilizam frequentemente marcas comerciais bem conhecidas como o Microsoft Office 365, que são utilizadas para esconder inteligentemente um esquema de phishing.
As plataformas de simulação de phishing são uma forma ideal de formar empregados para detectar uma tentativa de phishing. Além disso, as plataformas avançadas de simulação de phishing permitem a uma empresa adaptar estas simulações com base em papéis dentro de uma organização, de modo a que até mesmo as tentativas de phishing com lanças possam ser evitadas.
Leia mais detalhes sobre phishing no MetaCompliance Ultimate Guide to Phishing
Não Clique em Links Desconhecidos
Os utilizadores finais e consumidores foram treinados pela experiência inteligente dos utilizadores e tácticas de IU para clicar em links para tornar a sua vida online mais manejável. Mas isto levou a que os cibercriminosos explorassem este comportamento.
O desejo de clicar precisa de ser interceptado para evitar um ataque cibernético. Uma regra simples pode distinguir entre prevenir um ataque cibernético e ser uma estatística de segurança cibernética - "não clique num link de um e-mail a menos que tenha 100% de certeza de que é válido". Se um e-mail ou mensagem de texto contiver uma ligação, pare sempre, e pense antes de clicar.
Não descarregar anexos não verificados
Escusado será dizer, mas mesmo assim acontece; os empregados abrem um anexo, e a sua organização fica infectada com malware. Não descarregue um anexo se não estiver 100% seguro de que é legítimo.
Um recente ataque de phishing demonstra a sofisticação dos ataques que utilizam anexos infectados. A campanha de phishing SVCReady utiliza um tipo particular de propriedade inerente a um documento do Microsoft Word, conhecido como shellcode, para entregar um carregador numa máquina. A máquina infectada é então utilizada para recolher informação sensível, montar um centro de controlo remoto e, geralmente, ficar pendurada até que o atacante decida entrar para matar, instalar mais malware, e/ou roubar dados.
Não sobrepor-se às redes sociais
Os cibercriminosos recolhem informações sobre o seu alvo para que os seus ataques de phishing sejam adaptados e mais susceptíveis de enganar os destinatários. Os meios de comunicação social são um tanque ideal para phishing para informação. Os cibercriminosos investigarão a empresa e os seus empregados, procurando informação que possa ser utilizada para criar campanhas de phishing de lança.
As redes sociais são também um local onde a partilha excessiva pode resultar na partilha de palavras-passe. Por exemplo, um relatório identificou a partilha generalizada de palavra-passe em canais de colaboração inseguros como a Slack. Assegure-se de que os seus empregados conhecem os perigos de fornecer dados privados e palavras-passe em canais que incluem plataformas de Slack, discordância, e social media.
Ser Senha de Higiene Consciente
A partilha e reutilização de palavra-passe aumenta as hipóteses de uma campanha de phishing acabar em dados e sistemas informáticos comprometidos. A partilha de palavra-passe é um problema sério nas organizações. De acordo com um inquérito do Google, 62% das pessoas reutilizam palavras-passe, e 52% reutilizam palavras-passe para aceder a múltiplas contas.
Além disso, 34% dos empregados partilham palavras-passe com os colegas de trabalho. Se as palavras-passe forem "passadas" e reutilizadas, as pessoas têm menos probabilidades de ver o valor da segurança e, por conseguinte, têm uma atitude mais laissez-faire em relação à segurança das palavras-passe. Fazer da higiene da palavra-passe um tema central na Formação de Sensibilização para a Segurança.
Patch no tempo
As campanhas de phishing por correio electrónico dependem frequentemente de uma vulnerabilidade de segurança explorável. Por exemplo, o ataque de phishing de 2021 Zimbra explorou vulnerabilidades no cliente de email Zimbra através de um email de phishing. Portanto, assegurar que as aplicações de software sejam corrigidas o mais cedo possível é vital para as medidas anti-phishing em curso.
Manter as contas em dia
As antigas contas online são úteis para os criminosos informáticos que as podem utilizar para criar identidades sintéticas e cometer fraudes. Estas contas podem também ser utilizadas como parte de um esquema BEC ou para extrair informações para novos ataques cibernéticos.
Se tiver uma conta de correio electrónico antiga ou em linha que nunca utiliza, feche a conta, ou restabeleça a sua utilização e mantenha uma verificação regular da mesma. Certifique-se de que altera a palavra-passe frequentemente e verifique se a HaveIBeenPwnd foi exposta uma conta de correio electrónico ou palavra-passe durante uma violação de dados.
Use 2FA (mas ainda assim tenha cuidado)
Uma melhor prática para ajudar a proteger contra golpes de phishing é aplicar um segundo factor (2FA) sempre que esta medida seja apoiada. No entanto, 2FA não é garantia de que um ataque de phishing não será bem sucedido, apenas que reduz o risco.
As medidas 2FA mal implementadas, por exemplo, podem ser inúteis na prevenção de ataques de phishing. Use 2FA, mas apoie isto com Formação de Sensibilização para a Segurança.
Relatar qualquer coisa suspeita
Encorajar os funcionários a denunciar um e-mail ou texto suspeito para ajudar a evitar a ocorrência de um incidente. Criar um ambiente que encoraje a cooperação em matéria de segurança. Manter uma porta aberta e uma mente aberta sobre os funcionários que clicam num link malicioso, dando-lhes o espaço para sentirem que podem comunicar um erro.
A comunicação de incidentes ajudará a proteger a sua organização contra esquemas de phishing, mas a comunicação deve ser fácil e baseada num sistema avançado de comunicação concebido para escalar e fornecer opções de triagem.
Considerar a utilização de Ferramentas Anti-Phishing
A Formação de Sensibilização para a Segurança faz parte de um conjunto mais amplo de medidas que podem ser utilizadas para proteger contra golpes de phishing. Outras medidas que podem ser utilizadas que acrescentam camadas de protecção incluem: Software de filtragem DNS que ajuda a evitar que um empregado navegue para um website malicioso; e um filtro de spam baseado na nuvem que pode impedir que e-mails de phishing entrem na caixa de entrada de um empregado.
No entanto, estas medidas de segurança por si só não são suficientes. Os cibercriminosos que desenvolvem e-mails de phishing estão cada vez mais a conceber os e-mails para escapar à detecção. Só utilizando métodos de múltiplas camadas, incluindo os conhecimentos do seu empregado sobre phishing, é que uma organização pode proteger contra esquemas de phishing.
