Os e-mails de phishing, muito simplesmente, são um bilhete de ida para obter acesso à tua organização, quer seja através das tuas unidades, rede ou activos de informação. 

A forma mais simples de resolver isto? Não cliques no link!

Infelizmente, não é assim tão simples. Os cibercriminosos são espertos e têm como alvo os indivíduos com conteúdo de correio eletrónico que é garantido para chamar a sua atenção. Quando um funcionário fica curioso com o título apelativo ou com a ligação misteriosa, já foi fisgado. Os e-mails de phishing também são concebidos para se parecerem com e-mails comuns e quotidianos, como uma fatura de um colega, um contrato digitalizado ou mesmo um e-mail da sua equipa de apoio informático.

Para aqueles de nós que já foram expostos ou mesmo enganados por e-mails de phishing, sabemos quais os sinais de aviso a que devemos estar atentos e sabemos que não devemos clicar nas ligações. Apesar disso, é extremamente difícil prever a reação dos teus empregados a um e-mail deste tipo. Os empregados são, na maioria das vezes, o elo mais fraco da organização e é importante que compreendas como reagiriam. Precisam de saber como se podem defender de ataques de phishing.

Ao utilizar um software de simulação de phishing, como o MetaPhish, pode expor o seu pessoal a e-mails de phishing simulados. A função de relatório permite-te ver em tempo real os funcionários que clicaram na ligação de phishing e aqueles que reagiram adequadamente.

O objetivo deste software não é apenas avaliar quantos dos seus empregados clicariam na ligação, mas também aumentar a sua sensibilidade e consciência em relação a este tipo de e-mails. Quanto mais o teu pessoal estiver exposto a e-mails de phishing, maior será a probabilidade de detetar os sinais de aviso e perceber que não se trata de uma comunicação genuína. Além disso, para aqueles que não conseguem detetar o phishing, é-lhes oferecida a oportunidade de trabalhar através de uma experiência de aprendizagem, a fim de obterem formação sobre os riscos associados ao phishing.

Ao interagir com o teu pessoal desta forma, poderás medir o teu nível atual de exposição a um ataque de phishing. Se um grande número de funcionários clicar nos links, saberás que estás muito exposto. Combina um ataque de phishing com engenharia social e será o pior pesadelo de uma empresa.

É essencial que o teu pessoal saiba o que procurar num e-mail de phishing.

Alguns dos primeiros sinais de alerta são os seguintes:

– Saudação vaga

– Má gramática ou pontuação

– És tratado por “utilizador” em vez do teu nome

– “Ligações” para descarregar documentos

– A linha de assunto é irrelevante para o corpo do e-mail?

Estes são alguns dos sinais óbvios, mas os cibercriminosos são inteligentes e estão determinados a apanhar-te desprevenido. Spear-phishing e whaling são métodos mais sofisticados de phishing (lê mais sobre estes tipos de ameaças de phishing aqui) e não são tão fáceis de detetar, principalmente devido ao facto de estes e-mails terem sido concebidos especificamente para ti e parecerem genuínos.

Neste cenário, o que podes procurar são:

– E-mails assinados por um colega que conheces mas que foram enviados de uma conta de e-mail diferente

– Anexos suspeitos de ficheiros zip

– Pede para depositar uma grande quantia de dinheiro numa conta

Os ataques de spear-phishing e whaling terão sido criados por um cibercriminoso que te monitorizou nas redes sociais, talvez sob o disfarce de um colega. O cibercriminoso terá criado um perfil falso do colega ou, se os teus perfis nas redes sociais forem públicos, terá recolhido as informações por conta própria.

Basta que um indivíduo clique no link, descarregue o anexo ou pague essa enorme soma de dinheiro e isso significa que o cibercriminoso ganhou. Deste-lhe acesso ao que ele precisa, à informação que ele quer, descarregaste qualquer malware ou ransomware e deste-lhe uma grande recompensa!

Investe na formação do teu pessoal sobre phishing para que saibam o que procurar e o que fazer se suspeitarem que foram vítimas de um ataque. Solicita uma demonstração do nosso software de simulação MetaPhish ou do nosso módulo de eLearning Essential Phishing Awareness. Também podes contactar-nos para organizar um Dia de Sensibilização do Pessoal sobre phishing.