A segurança cibernética está a tornar-se a última tendência. Todos nós lemos sobre as violações do TalkTalk, Dropbox e Yahoo, e isto significa que elas só irão aumentar num futuro próximo.
Como seres humanos, estamos ligados para cometer erros, por isso é apenas necessário que eduque o seu pessoal sobre o que deve ter em atenção. Pode proteger a sua organização, alertando o seu pessoal para evitar clicar em ligações de correio electrónico suspeitas, parar de escrever as suas palavras-passe num post-it ou saber que não se deve ligar a redes Wi-Fi públicas quando se trabalha à distância.
Nesta série de blogs, vamos voltar ao básico, por isso vamos dar uma vista de olhos ao tipo de ameaças de phishing que existem por aí. Para se armar contra um potencial ataque de phishing, deve-se tirar partido das barreiras técnicas, mas também se deve recorrer à sensibilização do pessoal. Em última análise, a sensibilização do pessoal ajudará o seu pessoal a reconhecer as tácticas comuns utilizadas pelos ciber-criminosos num e-mail de phishing.
- Phishing
O filtro de spam nas suas contas de correio electrónico pessoal ou de trabalho irá normalmente recolher lixo electrónico, mas por vezes podem entrar na sua caixa de entrada principal. É aqui que precisa de ser capaz de detectar um e-mail de phishing. O facto de o seu filtro de spam o ajudar de vez em quando e afastar os emails de spam da sua vista é tanto uma ajuda como um impedimento. O filtro ajuda-o porque não se sente tentado a clicar directamente sobre ele (fora de vista, fora de mente) mas isto está a impedir que veja as tácticas que os hackers irão utilizar e, portanto, pode impedi-lo de notar a diferença entre um e-mail genuíno e um e-mail de phishing.
Por exemplo, um indivíduo contacta-o para lhe dizer que foi identificado como o último descendente vivo de um financiador rico e que tem direito à sua fortuna. O bom senso está à mão para lhe dizer que isto é virtualmente impossível. Não só isso, como gostaria de pensar que receberia um documento legal confirmando tais notícias, por oposição a um e-mail de uma conta Hotmail.
Se conseguir detectar estes sinais de aviso, isso é bom. Os e-mails de phishing generalizados são concebidos para o apanhar, mas as falsas promessas ou a falta de gramática utilizada no e-mail devem alertá-lo para os perigos. Mas - os ciber-criminosos estão a tornar-se mais espertos.
Um teste de resgate é uma solução para testar o comportamento dos seus empregados em relação aos e-mails de phishing. Uma solução simulada de software de phishing pode fornecer à direcção relatórios sobre a forma como os empregados reagem a essas mensagens de correio electrónico. Os relatórios irão delinear quais os membros do pessoal necessários para empreender um módulo de formação em phishing.
- Spear Phishing
Este é um método extremamente sofisticado de phishing. Os cibercriminosos que enviam e-mails de phishing de lança fizeram o seu trabalho de casa; terão adaptado o conteúdo do e-mail especificamente para si. Para o conseguir, terão monitorizado a si e aos seus colegas nas redes sociais e, eventualmente, utilizarão esta informação para criar o e-mail perfeito para si, que será utilizado para ganhar a sua confiança.
O correio electrónico que receber parecerá ser de um indivíduo ou empresa. Atire a sua informação pessoal que eles tenham recolhido para esta mistura e é uma receita para o desastre. Em comparação com um e-mail padrão de phishing, um e-mail de phishing de lança será pessoalmente endereçado a si e incluirá informação que lhe agrada.
E se recebeu um e-mail assinado pela sua equipa de apoio informático para lhe dizer que a sua conta de e-mail está a ficar sem espaço? Este tipo de correio electrónico parece um pouco mais plausível. As assinaturas de e-mail podem parecer oficiais: isso é tudo muito bom, mas, algumas coisas que deve ter cuidado no corpo do e-mail são a ortografia e a gramática, a quem o e-mail é dirigido (referem-se a si pelo nome ou simplesmente "utilizador"?) e quaisquer ligações que lhe sejam fornecidas.
- Whaling
Esta forma de ataque de phishing é directamente dirigida a membros superiores do pessoal e da direcção, mas o objectivo continua a ser o mesmo: adquirir informação.
O cibercriminoso disfarçar-se-á como uma fonte fiável ou fidedigna, muito semelhante ao phishing de lança. No entanto, um ataque à baleia é concebido para enganar membros superiores do pessoal, uma vez que estes terão mais provavelmente acesso a informações financeiras importantes da empresa e possivelmente até terão a capacidade de autorizar transacções financeiras ou pagamentos.
Por exemplo, digamos que é o Director Financeiro Sénior e que recebe um e-mail do seu colega sobre algumas facturas que requerem aprovação para pagamento imediato. Também anexaram uma pasta zip ao e-mail. Entra automaticamente em pânico e o seu cérebro entra em pânico pensando "Será que me esqueci de os autorizar? Tenho a certeza que não - processei todas as facturas na segunda-feira". Aqui, a sua reacção automática seria clicar no anexo da pasta zip e verificar as facturas para refrescar a sua memória.
É aqui que precisa de STOP. Em vez de clicar no anexo, verifique os seus próprios registos para ver se o pagamento foi aprovado. Poupe alguns segundos extra (e a reputação da sua empresa) verificando os seus registos antes de aceder ao conteúdo descarregável a partir de um e-mail.
Se tivesse descarregado a referida pasta zip, provavelmente teria contido um ficheiro suspeito e este executaria malware perigoso no seu computador ou portátil. Este programa poderia mesmo aceder à sua rede, causando danos potencialmente irreparáveis.
Conclusão
Muito simplesmente, os ataques de phishing podem destruir uma empresa simplesmente com um clique de um botão. Basta uma pessoa clicar num link ou descarregar um anexo, e a reputação e os bens da sua empresa estão em risco. Para combater a ameaça de phishing, as empresas precisam de investir na educação do seu pessoal sobre o que devem procurar.
Aqui na MetaCompliance, fornecemos software de simulação de phishing e conteúdos de eLearning que acabarão por aumentar a sensibilidade de uma organização a e-mails fraudulentos.
Sabia que demora apenas um minuto e vinte segundos para que alguém abra um e-mail de phishing? Em vez disso, tire esse tempo para pensar antes de clicar.