É tarde numa sexta-feira à noite no escritório, quando uma mensagem do Director Executivo, intitulada "Transferência urgente necessária o mais rapidamente possível", aparece na sua caixa de entrada. O que faz?
Este é um cenário com o qual demasiadas pessoas estão a ficar cada vez mais familiarizadas no mundo digital moderno. Infelizmente, a mordida dos ataques de phishing está a ser sentida em todo o Reino Unido e a nível global, tendo-se registado um aumento maciço de 65% em 2016. Isto deixa muitas organizações a enfrentar a pressão crescente para protegerem e educarem adequadamente os seus empregados em relação a estas ameaças. Então, o que compreende um e-mail de phishing? Abaixo estão algumas dicas escritas na perspectiva de um hacker 'MataHacky's Guide' sobre como detectar o Phish e morder de volta!
#1 Não há problema em mantê-lo generalizado...mas se é um verdadeiro profissional da Spear Phish!
Quando se começa e se visa várias pessoas de uma só vez, não há problema em manter o general de nomeação, pois só procuramos um otário para morder. Por exemplo, "Caro Cliente" é suficiente para abrir com e será frequentemente ignorado por um tolo insuspeito em movimento com as suas vidas ocupadas. Muitos deles nem sequer questionarão que o e-mail não é personalizado e que não se dirige a eles pelo nome. É importante notar que à medida que a consciência aumenta, mais e mais pessoas começarão a ver esta generalização como um detector de ameaças. Isto leva-nos até onde reside o dinheiro real e o jogo muda de ritmo - o phishing de lança! Basicamente, procura-se pesquisar o seu alvo, descobrir o seu nome, local de trabalho e até o nome do seu chefe para criar um phish personalizado super convincente!
#2 Criar um Sentido de Urgência!
Esta é a chave. Deve-se incutir medo na audiência. Sem isto, podem olhar mais de perto para as outras falhas do seu correio electrónico, tais como erros ortográficos, e tornar-se cautelosos. Como um cavalo fora da armadilha tem de entrar lá imediatamente. Comece com o assunto do e-mail "Actividade urgente - suspeita na sua conta X" é normalmente uma óptima forma de abrir e chamar a sua atenção. Lembre-se de manter este nível de urgência ao longo do seu e-mail e está na mira de um vencedor. O pânico é a chave para uma boa phish. Pense no que é mais precioso, tais como detalhes que irão causar destroços financeiros ou constrangimento de reputação, colocá-lo numa situação de risco e está destinado a receber uma dentada.
#3 Cuidado com a sua ortografia e gramática
É verdade que se pregar os outros pontos que enumerei, pode escapar ao estranho erro ortográfico ou erro gramatical... no entanto, precisa de estar atento à quantidade de erros ortográficos no seu texto. Um ou dois provavelmente passarão despercebidos, mas o super apurado phish spotter não se deixará enganar, por isso, tente escová-los o melhor possível. Afinal, qualquer empresa empresarial verdadeiramente profissional não terá erros ortográficos nos e-mails que enviar aos seus clientes.
Por outro lado, os erros ortográficos ajudá-lo-ão a criar a lista de otários perfeita. Quer dizer, se caírem num e-mail de phishing cheio de erros ortográficos, em que mais poderão cair? Poderá até partilhar estes dados de contacto dos seus amigos hackers para que eles também os possam alvejar!
#4 Crie um endereço de e-mail e links realmente convincentes!
Para garantir que esses tolos morderão a isca e clicar no link que fornecer, deve certificar-se de que o endereço de correio electrónico a partir do qual está a operar tem um aspecto legítimo. Apenas um personagem fora do negócio real será normalmente suficiente para os enganar a clicar no link, mais uma vez a atenção das pessoas aos detalhes está muitas vezes ausente, por isso se virem um email vindo de '[email protected]', muitos ignorarão estes pequenos erros. Aplique a mesma ideia aos seus links também! Faça-os parecer tão reais quanto possível e poderá escapar com apenas um pequeno carácter aqui ou ali em falta ou adicionado. A falsificação é uma arte, por isso se quer ser um mestre, é melhor começar a praticar!
Lembre-se de que 91% dos ataques de phishing corporativo contêm falsificações de nomes de expositores, 30% são abertos e 12% dos otários clicam no link ou anexo para que tenha hipóteses de fazer com que um dólar rápido pareça bom se se cingir às minhas regras. Boa sorte!
O empregado médio enfrenta pelo menos um correio electrónico de risco por dia com a previsão de que o correio electrónico continuará a ser o principal método de mira para a maioria dos ataques até 2020. Nos últimos dois anos, as ligações fraudulentas enviadas para contas de correio electrónico empresarial custaram às empresas mais de dois mil milhões de dólares, tendo 30% dos clientes levado o seu negócio para outro local na sequência de uma violação.
Pode dar-se ao luxo de a sua organização ou mesmo a sua conta pessoal sofrer nas mãos de um destes ataques? Se a resposta for não, então poderá estar interessado no nosso curso Essential Phishing Awareness eLearning, que cobre como identificar correctamente um phish e o que fazer quando o detectar. Isto também pode ser complementado com o nosso software de simulação de phishing 'MetaPhish ' para ajudar a aumentar a sensibilidade dos seus empregados a e-mails fraudulentos.
O maior risco de segurança cibernética que a sua empresa enfrenta diariamente é a complacência dos funcionários e agora é o momento certo para inverter esta situação. Fale connosco hoje para mais informações sobre como pode salvar a sua organização de um ataque de phishing.
