Os e-mails de phishing, muito simplesmente, são um bilhete de ida para ter acesso à sua organização, quer seja através das suas unidades, rede ou bens de informação.
A forma simples de resolver isto? Não clique no link!
Infelizmente, não é assim tão simples. Os cibercriminosos são inteligentes e estão a visar indivíduos com conteúdo de correio electrónico que é garantido obter a sua atenção. Assim que um empregado fica curioso sobre o título ou a ligação misteriosa - eles foram enganchados. Os e-mails de phishing são também concebidos para aparecerem como e-mails comuns e quotidianos, tais como uma factura de um colega, um contrato digitalizado ou mesmo um e-mail da sua equipa de apoio informático.
Para aqueles de nós que já foram expostos ou mesmo enganados por e-mails de phishing, sabemos que sinais de aviso devem ser observados e sabemos que não devem clicar nas ligações. Apesar disto, é extremamente difícil prever como os seus empregados reagiriam a um tal e-mail. Os funcionários são, na maioria das vezes, o elo mais fraco da organização e é importante que compreenda como reagiriam. Eles precisam de conhecimentos sobre como se defenderem contra ataques de phishing.
Ao utilizar software de simulação de phishing, como o MetaPhish, pode expor o seu pessoal a e-mails de phishing falsificados. A função de relatório permite-lhe ver em tempo real o pessoal que clicou no link de phishing, ao contrário daqueles que reagiram adequadamente.
O objectivo deste software não é apenas avaliar quantos dos seus empregados clicariam no link, mas também aumentar a sua sensibilidade e consciência sobre este tipo de e-mails. Quanto mais e mais o seu pessoal for exposto a e-mails de phishing, mais é provável que detectem os sinais de aviso e percebam que não se trata de uma comunicação genuína. Além disso, para aqueles que não conseguem detectar o phishing, é-lhes oferecida a oportunidade de trabalhar através de uma experiência de aprendizagem, a fim de obterem educação sobre os riscos associados ao phishing.
Ao envolver-se com o seu pessoal desta forma, será capaz de medir o seu nível actual de exposição a um ataque de phishing. Se um grande número de empregados estiver a clicar nos links - sabe que está altamente exposto. Combine um ataque de phishing com engenharia social e será o pior pesadelo de uma empresa.
É vital que o seu pessoal saiba o que deve procurar num e-mail de phishing.
Alguns dos sinais de aviso prévio são os seguintes:
- Vaga de saudação
- Má gramática ou pontuação
- É dirigido como "utilizador" em oposição ao seu nome
- "Ligações" para descarregar documentos
- Linha de assunto que é irrelevante para o corpo do e-mail?
Estes são alguns dos sinais óbvios mas os cibercriminosos são inteligentes e estão determinados a apanhá-lo de fora. O phishing e a caça à baleia são métodos mais sofisticados de phishing (leia mais sobre estes tipos de ameaças de phishing aqui) e não são tão fáceis de detectar, principalmente devido ao facto de estes e-mails terem sido concebidos especificamente para si e parecerem genuínos.
Neste cenário, o que se pode ter em conta é:
- E-mails assinados por um colega que conhece mas que lhe foram enviados a partir de uma conta de e-mail diferente
- Anexos suspeitos de ficheiros zip
- Pedidos para pagar uma grande soma de dinheiro numa conta
Os ataques de pesca submarina e de baleia terão sido criados por um cibercriminoso que o monitorizou nas redes sociais, talvez sob o disfarce de um colega. Tê-lo-ão visado através da criação de um perfil falso do referido colega ou, se os seus perfis nos meios de comunicação social forem tornados públicos, terão recolhido a informação por si próprios.
Basta um indivíduo clicar no link, descarregar o anexo ou pagar essa enorme soma de dinheiro e significa que o cibercriminoso ganhou. Deu-lhes acesso ao que precisam, às informações que querem, descarregou qualquer malware ou resgate e deu-lhes uma recompensa pesada!
Invista na educação do seu pessoal sobre o phishing para que saibam o que devem ter cuidado e o que devem fazer se suspeitarem que foram vítimas de um ataque. Isto é do seu interesse? então solicite uma demonstração do nosso software de simulação MetaPhish ou do nosso módulo eLearning Essential Phishing Awareness. Pode também contactar-nos para marcar um Dia de Sensibilização do Pessoal para o phishing.