O que são esquemas de phishing?

Os esquemas de phishing, uma tática enganosa, são normalmente utilizados pelos cibercriminosos para levar a cabo actividades nefastas. A maioria das pessoas já se deparou com um e-mail de phishing em algum momento. Apesar da sua prevalência, os cibercriminosos continuam a utilizar este método para instalar malware, roubar credenciais e cometer fraudes, incluindo o Business Email Compromise (BEC).

Um relatório de 2021 sobre as tendências das ameaças à cibersegurança da CISCO coloca o phishing e a mineração de criptomoedas como as duas principais ameaças às empresas. O relatório também concluiu que 86% dos funcionários das organizações clicam em ligações de phishing.

Proteger-se contra esquemas de phishing é vital para manter a sua organização segura, uma vez que 90% das violações de dados têm origem em ataques de phishing.

Aqui estão 10 maneiras de garantir que a tua organização não seja vítima de um esquema de phishing.

10 maneiras de evitar esquemas de phishing

Para se proteger contra os esquemas de phishing, utiliza várias camadas de proteção:

Aprende como é um ataque de phishing

Os cibercriminosos trabalham arduamente para fazer com que os e-mails de phishing pareçam legítimos. Como resultado, os esquemas de phishing são cada vez mais sofisticados e visam frequentemente indivíduos e empresas específicas. Uma campanha de phishing direcionada é designada por spear phishing. Esta forma de phishing envolve a recolha de informações para personalizar os e-mails de phishing que são difíceis de diferenciar dos e-mails genuínos.

Os funcionários de todas as unidades de uma empresa devem ser treinados para detetar sinais de phishing. As campanhas de phishing personalizadas utilizam frequentemente marcas comerciais bem conhecidas, como o Microsoft Office 365, que são utilizadas para ocultar habilmente um esquema de phishing.

As plataformas de simulação de phishing são uma forma ideal de formar os funcionários para detectarem uma tentativa de phishing. Além disso, as plataformas avançadas de simulação de phishing, como o MetaPhish, permitem que uma empresa adapte estas simulações com base nas funções dentro de uma organização, de modo a que até as tentativas de spear phishing possam ser evitadas.

Lê mais detalhes sobre phishing no MetaCompliance Ultimate Guide to Phishing.

Não cliques em ligações desconhecidas

Os utilizadores finais e os consumidores foram treinados por uma experiência de utilizador inteligente e por tácticas de IU para clicarem em hiperligações para tornar a sua vida em linha mais fácil de gerir. Mas isto levou a que os cibercriminosos explorassem este comportamento.

A vontade de clicar tem de ser interceptada para evitar um ataque informático. Uma regra simples pode distinguir entre evitar um ciberataque e ser uma estatística de cibersegurança – “não cliques numa hiperligação de um e-mail a menos que tenhas 100% de certeza de que é válida”. Se uma mensagem de correio eletrónico ou de texto contiver uma ligação, pára sempre e pensa antes de clicar.

Explora mais informações no artigo O que fazer se clicares num link de phishing?

Não transfiras anexos não verificados

Nem é preciso dizer, mas ainda assim acontece: os funcionários abrem um anexo e a tua organização é infetada com malware. Não descarregues um anexo se não tiveres 100% de certeza de que é legítimo.

Um recente ataque de phishing demonstra a sofisticação dos ataques que utilizam anexos infectados. A campanha de phishing SVCReady utiliza um tipo particular de propriedade inerente a um documento do Microsoft Word, conhecido como shellcode, para instalar um carregador numa máquina. A máquina infetada é então utilizada para recolher informações sensíveis, criar um centro de controlo remoto e, de um modo geral, permanecer no local até que o atacante decida matar, instalar mais malware e/ou roubar dados.

Não partilhes demasiado nas redes sociais

Os cibercriminosos recolhem informações sobre os seus alvos para que os seus ataques de phishing sejam adaptados e tenham mais probabilidades de enganar os destinatários. As redes sociais são um local ideal para obter informações. Os cibercriminosos pesquisam a empresa e os seus funcionários, procurando informações que possam ser utilizadas para criar campanhas de spear phishing.

As redes sociais são também um local onde a partilha excessiva pode resultar na partilha de palavras-passe. Por exemplo, um relatório identificou uma partilha generalizada de palavras-passe em canais de colaboração inseguros como o Slack. Certifica-te de que os teus funcionários conhecem os perigos de fornecer dados privados e palavras-passe em canais como o Slack, o Discord e as plataformas de redes sociais.

Tem cuidado com a higiene das palavras-passe

A partilha e a reutilização de palavras-passe aumentam as probabilidades de uma campanha de phishing resultar no comprometimento de dados e sistemas de TI. A partilha de palavras-passe é um problema grave nas organizações. De acordo com um inquérito da Google, 62% das pessoas reutilizam palavras-passe e 52% reutilizam palavras-passe para aceder a várias contas.

Além disso, 34% dos empregados partilham as palavras-passe com os colegas de trabalho. Se as palavras-passe forem “passadas de mão em mão” e reutilizadas, é menos provável que as pessoas vejam o valor da segurança e, por conseguinte, tenham uma atitude mais laissez-faire em relação à segurança das palavras-passe. Faz da higiene das palavras-passe um tema central na formação de sensibilização para a segurança.

Remendo no tempo

As campanhas de phishing por correio eletrónico dependem frequentemente de uma vulnerabilidade de segurança explorável. Por exemplo, o ataque de phishing Zimbra de 2021 explorou vulnerabilidades no cliente de e-mail Zimbra através de um e-mail de phishing. Por isso, garantir que as aplicações de software são corrigidas o mais rapidamente possível é vital para as medidas antiphishing em curso.

Mantém as contas em dia

As contas online antigas são úteis para os cibercriminosos que as podem utilizar para criar identidades sintéticas e cometer fraudes. Estas contas também podem ser utilizadas como parte de um esquema de BEC ou para extrair informações para outros ataques informáticos.

Se tiveres uma conta de correio eletrónico ou uma conta online antiga que nunca utilizas, fecha a conta ou restabelece a sua utilização e mantém-na sob controlo regular. Certifica-te de que alteras a palavra-passe com frequência e verifica o HaveIBeenPwnd para ver se uma conta de correio eletrónico ou palavra-passe foi exposta durante uma violação de dados.

Utiliza 2FA ou MFA (mas tem cuidado)

Uma prática recomendada para ajudar a proteger contra esquemas de phishing é aplicar um segundo fator (2FA) ou autenticação multifactor (MFA) sempre que esta medida for suportada. No entanto, a 2FA ou MFA não garante que um ataque de phishing não seja bem sucedido, apenas que reduz o risco.

Medidas 2FA ou MFA mal implementadas, por exemplo, podem ser inúteis na prevenção de ataques de phishing. Utiliza a autenticação 2FA ou MFA, mas reforça-a com formação de sensibilização para a segurança.

Comunica qualquer coisa suspeita

Incentiva os funcionários a comunicarem um e-mail ou texto suspeito para ajudar a evitar a ocorrência de um incidente. Cria um ambiente que incentive a cooperação em matéria de segurança. Mantém uma porta e uma mente abertas em relação aos funcionários que clicam numa ligação maliciosa, dando-lhes espaço para sentirem que podem comunicar um erro.

A comunicação de incidentes ajudará a proteger a sua organização contra as fraudes de phishing, mas a comunicação deve ser fácil e baseada num sistema de comunicação avançado concebido para escalar e fornecer opções de triagem.

Considera a utilização de ferramentas antiphishing

A formação em sensibilização para a segurança faz parte de um conjunto mais vasto de medidas que podem ser utilizadas para proteção contra esquemas de phishing. Outras medidas que podem ser utilizadas para adicionar camadas de proteção incluem: Software de filtragem de DNS que ajuda a evitar que um funcionário navegue para um site malicioso; e um filtro de spam de e-mail baseado na nuvem que pode impedir que e-mails de phishing entrem na caixa de entrada de um funcionário.

No entanto, estas medidas de segurança, por si só, não são suficientes. Os cibercriminosos que desenvolvem mensagens de correio eletrónico de phishing estão cada vez mais a concebê-las para evitar a deteção. Uma organização só pode proteger-se contra os esquemas de phishing se utilizar métodos com várias camadas, incluindo o conhecimento dos seus empregados sobre phishing.

[faq_posts]