Não podemos sobrestimar a importância da educação quando se trata de melhorar a nossa sensibilização para o phishing e outras ameaças à segurança digital. Foi por isso que discuti algumas dicas para ajudar os utilizadores a detectar um esquema de phishing num artigo recente. Também mencionamos algumas das melhores soluções anti phishing.
Saber o que procurar num ataque de phishing é importante. Mas isso é apenas metade da batalha. Os utilizadores também precisam de tomar medidas concretas para dissuadir os pescadores de phishing e manter a sua informação segura.
Reconhecendo esse facto, aqui estão 10 formas de o proteger e ao seu computador contra um phish bem sucedido.
10 Dicas de Segurança Cibernética
- Não entre em pânico
Os pescadores de pesca normalmente incorporam ameaças e um sentido de urgência nos seus e-mails de ataque. Há um propósito para o fazer. Como seres humanos semelhantes, eles sabem que tomamos algumas das nossas piores decisões quando estamos em pânico e não pensamos claramente. Podemos até permitir-nos clicar num link suspeito ou perder algumas das nossas informações pessoais sensíveis.
Dito isto, tente manter-se calmo se receber um email ameaçador ou de outra forma alarmante. Dessa forma, poderá tomar decisões informadas e evitar cair vítima de um esquema de phishing.
- Introduzir informação sensível apenas em sítios Web seguros
A maioria dos ataques de phishing solicita que os utilizadores enviem as suas informações pessoais por correio electrónico ou introduzindo-as num formulário de login falso num website malicioso. Para proteger contra esta táctica, tente submeter as suas informações pessoais apenas em sítios web seguros. No mínimo, esses websites devem ter uma política de privacidade escrita que defina como irão utilizar/armazenar as suas informações pessoais. Podem também ter um certificado assinado para HTTPS, o que ajudará a proteger a privacidade e integridade de quaisquer dados que troque com eles.
- Familiarize-se com a Política de Privacidade de um Website antes de se inscrever
Só porque um website utiliza HTTPS não significa necessariamente que deva partilhar a sua informação pessoal com ele. Alguns websites vendem o seu endereço de correio electrónico e outras informações de contacto a terceiros. Esses compradores podem, por sua vez, vender os seus dados a indivíduos não-repuraveis que poderiam salvar a sua informação e alvejá-lo em futuros ataques de phishing.
Estar do lado seguro. Antes de partilhar as suas informações com um sítio web, reveja a política de privacidade do sítio e certifique-se de que concorda com os seus termos e condições.
- Passe o mouse sobre URLs suspeitas antes de clicar nelas
Os atacantes gostam de enganar os seus alvos para que estes cliquem num URL aparentemente benigno que, na realidade, leva a um domínio malicioso. Felizmente, os utilizadores podem facilmente expor esse estratagema ao pairar sobre um URL suspeito. Será que o seu texto diz que o faz? Se não, pode ter a certeza que o verdadeiro destino do URL é de natureza maliciosa.
- Exercício de Cuidado em torno de Links Reduzidos
Nem todos os URLs desistem da sua localização real de ligação quando pairam sobre eles. Tomemos os URLs abreviados, por exemplo. Serviços tais como bit.ly e tinyurl podem ajudar a reduzir o tamanho dos URLs e a localizar ligações. Contudo, um URL que tenha sido encurtado não revela qualquer informação sobre o seu destino real. Pode levar a qualquer lugar, mesmo a páginas de phishing.
As organizações legítimas estão cientes deste cepticismo, pelo que geralmente não incorporam ligações encurtadas em qualquer correspondência comercial. Como resultado, se receber um e-mail contendo ligações encurtadas de uma organização, pense duas vezes antes de clicar nelas.
- Instale uma solução anti-vírus no seu computador
Enquanto muitos ataques de phishing extraem credenciais de utilizadores através de um formulário de login falso, outros instalam malware no computador do utilizador e utilizam keyloggers para recolher nomes de utilizador, palavras-passe, e outras informações sensíveis.
Para ajudar a proteger contra uma infecção malware, instale uma solução de software anti phishing no seu computador e assegure-se de que está actualizada para que possa detectar as últimas ameaças.
- Implementar Actualizações de Vendedores assim que estiverem disponíveis
Uma das formas como os phishers entregam malware ao computador de um utilizador é através de kits de exploração, ou kits de software que exploram vulnerabilidades em software popular para infectar os utilizadores com programas maliciosos. Alguns dos mais conhecidos kits de exploração, tais como Angler, Neutrino, e Magnitude, normalmente lançam o software de resgate em computadores vulneráveis. Essas variantes cripto-malware encriptam os ficheiros dos utilizadores e exigem centenas se não milhares de dólares em resgate pela chave de descodificação.
Os kits de exploração são mais eficazes a visar computadores com vulnerabilidades de software conhecidas. Não se abra a ataques, deixando este tipo de questões por resolver! Tente actualizar o seu sistema assim que um fornecedor lançar uma actualização de segurança ou uma correcção de software.
- Activar conteúdo apenas em documentos de fontes fidedignas
Outra forma como os pescadores furtivos gostam de infectar os utilizadores com malware é através de anexos de correio electrónico maliciosos. Em particular, os autores de fraudes gostam de enganar os utilizadores para que estes abram um documento Word aparentemente inocente que lhes peça para activar o conteúdo. Infelizmente, esse botão "activar conteúdo" é, neste tipo de e-mails, um iframe malicioso. Quando clicado, inicia um descarregador que passa malware para o computador do utilizador.
Os utilizadores precisam de abordar cuidadosamente o botão "habilitar conteúdo" nos documentos do Office. Só quando souberem que o documento teve origem numa fonte de confiança é que devem clicar no botão "enable content" (activar conteúdo). Mesmo assim, é uma boa ideia contactar previamente o remetente e confirmar que lhe enviaram um documento com algum conteúdo desactivado.
- Contactar o Remetente
O contacto com o remetente não é apenas uma boa forma de protecção contra conteúdos maliciosos (macros). É uma boa forma de protecção contra todos os tipos de ataques de phishing.
Se receber um e-mail suspeito de um amigo, membro da família, empresa ou outra fonte de confiança que pareça suspeito ou fora do seu carácter, contacte-os e confirme se realmente lhe enviaram a mensagem. Podem dizer que sim, ou podem revelar que foram hackeados recentemente.
- Em caso de dúvida, elimine o e-mail
Alguns e-mails suspeitos não vêm com qualquer informação de contacto utilizável sobre o remetente. Se for esse o caso, tente pesquisar o remetente e ver se consegue descobrir alguma informação sobre eles. Se não o conseguir fazer, é melhor simplesmente apagar o e-mail e não correr riscos com a segurança do seu computador.
Conclusão
Ao estudar as dicas acima mencionadas, sabe agora como se proteger contra uma variedade de ataques de phishing.
Infelizmente, os esquemas de phishing estão sempre a evoluir e a incorporar novas técnicas para atingir utilizadores insuspeitos. Por conseguinte, é importante que você e toda a sua empresa conduzam exercícios contínuos anti-phishing para se manterem a par dos últimos ataques de phishing. Também dêem uma olhada nas melhores soluções de software anti phishing para o vosso próprio computador.
As organizações modernas dependem da sua rede digital para sobreviver e operar no mundo empresarial de hoje. A solução Metacompliance ajuda com o desafio de Cyber Security Awareness, Simulated Phishing, Incident Management, Policy Management e Knowledge Assessment.
A Metacompliance desenvolveu uma solução para ajudar a defender a empresa, melhorando a sensibilização dos utilizadores para a segurança cibernética e os riscos de conformidade.
Simulação de Phishing, Gestão de Incidentes, Gestão de Políticas e Avaliação de Conhecimentos.
Metacompliance, um fornecedor de software de gestão de políticas e formação de sensibilização dos utilizadores, oferece muitas soluções de prateleira que permitem às empresas racionalizar a formação de sensibilização dos seus empregados em matéria de segurança. Esses produtos incluem MetaPhish, uma solução de software especificamente concebida para conduzir simulações de phishing contínuas para ajudar a aumentar a sensibilidade dos seus empregados a estes e-mails fraudulentos.
Para saber mais sobre MetaPhish e como pode proteger melhor a sua organização contra ataques de phishing, por favor clique aqui.
