Defenda sua empresa contra ataques de phishing

Você sabia que mais de 90% de todas as invasões e violações de dados começam com uma fraude de phishing? Você sabe o que é phishing e como proteger sua empresa contra ataques?

As fraudes de phishing são tentativas dos criminosos virtuais de enganar os usuários para que executem algum tipo de ação, como clicar em um link, digitar credenciais, abrir um anexo ou até fazer mudanças no processo de uma empresa. Essas fraudes são geralmente propagadas como e-mails maliciosos, mas também podem ter outras formas. Elas podem resultar em ransomware, instalação de software malicioso (vírus, Trojans, worms), credenciais roubadas, roubo de dinheiro, perda de dados ou até roubo de identidade. Os phishers exploram traços humanos comuns, como confiar em pessoas conhecidas, para enganar e convencer você a fazer algo que normalmente não faria.

Monte suas defesas

Se um phish tem como objetivo enganar você, então como você pode proteger sua força de trabalho contra ele? Isso parece ser um alvo móvel, e é. Como os phishers estão mudando de tática para enganar as pessoas, é mais importante do que nunca se preparar, para se manter sempre um passo à frente.

Você pode se preparar aprimorando suas defesas técnicas e encarando sua força de trabalho como uma extensão da sua equipe de segurança. Ter filtros de spam adequado, um gateway de e-mail seguro e usar protocolos padrão de autenticação de e-mail (como DMARC, DKIM ou SPF) e outras tecnologias são medidas essenciais para impedir que os phishes cheguem às caixas de entrada. Ainda assim, é inevitável que seus funcionários acabem encontrando tentativas de phishing. E basta um clique de uma pessoa para criar um caos que exigirá que as suas equipes de trabalho façam horas extras.

Você não prefere ter seus funcionários preparados para reconhecer e denunciar um e-mail de phishing em vez de clicar nele? Eu certamente preferiria. É por isso que eu priorizo o treinamento contínuo de conscientização de segurança. Treine seus funcionários sobre o que são as fraudes de phishing e como identificá-las. Se possível, teste a capacidade deles de detectá-las e recompense-os quando as encontrarem. Incentive seu pessoal a denunciar e-mails suspeitos para a sua equipe de segurança, e é ainda melhor se você tiver uma forma fácil para eles fazerem isso. Não deixe o phishing ou a segurança se tornarem um assunto a ser discutido uma vez por ano. Mantenha a conversa fluindo.

Anatomia de um ataque de phishing

Após assumir o compromisso de preparar sua força de trabalho, é necessário entender quem você está enfrentando. Como o phishing funciona e o que os phishers buscam?

O conceito do phishing é simples e bastante antigo. Você se lembra de que no passado às vezes recebia uma chamada dizendo que havia vencido um concurso, do qual você nem se lembrava de participar? Você ficava empolgado e dizia à pessoa tudo o que ela quisesse saber para poder receber seu prêmio. Esse mesmo conceito se aplica hoje com o phishing, mas funcionando por e-mail ou outro canal de comunicação digital.

Os phishers, que na verdade são apenas fraudadores que usam comunicações digitais, exploram traços humanos comuns, como confiar em conhecidos, para enganar as pessoas e convencê-las a fazer algo que normalmente não fariam.

Legenda do gráfico: E-mail enviado à Destinatário morde a isca à Destinatário executa a ação pretendida à Informações são roubadas ou o computador é infectado

Por exemplo, um phisher envia um e-mail para um destinatário. Dentro do e-mail há iscas para tentar convencer o destinatário a executar alguma ação solicitada. O e-mail geralmente contém hiperlinks ou anexos, mas nem sempre. Os hiperlinks normalmente apontam para sites falsos que pedem algum tipo de informação; alguns podem até imitar empresas legítimas. Os anexos geralmente contêm algum tipo de código malicioso para infectar o computador ou a rede do destinatário. Os e-mails que não contêm qualquer um dos dois geralmente pedem ao destinatário para responder ao e-mail ou telefonar para algum número a fim de compartilhar alguma informação solicitada pelo remetente.

Se o destinatário cair na fraude, muitas vezes acaba nem percebendo. Eles acreditam que foi um ato legítimo e até que algo positivo pode acontecer. Mas o phisher pode ter roubado as informações ou dinheiro deles, ou talvez infectado seu computador.

Diferentes tipos de ataques de phishing

Nem todos os ataques de phishing são iguais. Há alguns tipos diferentes de phishes que você precisa preparar todo o pessoal na sua empresa para identificar. Aqui estão alguns tipos comuns:

Spear phishing (phishing direcionado)

O spear phishing é uma fraude direcionada para um público específico. Você não recebe o e-mail por acidente. O phisher fez pesquisas específicas para encontrar você e enviar uma mensagem que faça sentido para você. Pode ser porque você faz parte do departamento de RH da sua empresa, ou talvez você tenha publicado on-line recentemente sobre ter recebido uma promoção.

Whaling

Whaling é um tipo de spear phishing direcionado contra os executivos de uma empresa, os “peixes graúdos”. A equipe executiva de uma empresa geralmente é uma informação pública, facilmente encontrada no site da empresa. Isso os torna alvos fáceis. Mas eles também tendem a possuir acesso a informações sigilosas e a tomar decisões financeiras, o que os torna alvos lucrativos para phishers.

Fraude BEC e CEO

A fraude de Business Email Compromise (BEC) e CEO é outra forma de spear phishing que tenta se identificar como a sua empresa ou o CEO da sua empresa. Sabendo que as pessoas geralmente confiam naquelas em posições de autoridade, os phishers tentam se passar por pessoas que têm chances de obter o cumprimento de suas solicitações. É fácil falsificar os domínios de e-mail da empresa e os logotipos oficiais podem ser encontrados on-line. Os nomes das pessoas que trabalham em sua empresa também podem ser facilmente acessados em vários sites de redes sociais. Isso torna fácil para os phishers se concentrar na BEC.

Vishing

Vishing é uma forma de phishing feita pelo telefone (significa “voice phishing”). Essencialmente, são as chamadas fraudulentas que você recebe ou já deve ter recebido, antes mesmo de ter um computador em casa. Essas fraudes tradicionais funcionam porque ouvir a voz de uma pessoa ajuda você a criar um relacionamento com ela. Isso torna mais difícil para você não cumprir as solicitações da pessoa.

Smishing / SMShing

Smishing, também conhecido como SMShing, são mensagens de texto maliciosas (significa “SMS phishing,” em que SMS se refere a mensagens de texto). Essas são versões mais curtas das fraudes de phishing mais tradicionais e normalmente contêm um hiperlink encurtado com uma mensagem curta e direta, solicitando uma ação.

Conscientização sobre phishing: Como identificar um phish?

Uma das perguntas mais comuns que você pode ter é: como eu sei se alguma coisa é um phish? Embora possamos abordar todas as formas técnicas de avaliar cabeçalhos de e-mails, os usuários finais precisam ser treinados em alguns sinais de alerta importantes. Mas ainda mais importante do que os sinais de alerta, você precisa lembrar a eles que, se tiverem alguma dúvida, devem procurar informações e denunciar o e-mail à sua equipe de segurança para investigação, se suspeitarem de um phish. Lembre-se, é interessante incentivar uma dose saudável de ceticismo.

Sinais de alerta de phishing 

Quais são os sinais de alerta? Há muitos, e eles podem mudar conforme os phishers mudam de tática. Geralmente, se a sua força de trabalho notar uma combinação destes sinais de alerta, eles devem proceder com cautela extrema:

  • Cumprimentos ou assinaturas genéricos
  • Falta de informações sobre a empresa ou o remetente
  • Imagens pixeladas ou borradas
  • Links para sites que não fazem sentido
  • Erros de ortografia ou gramática
  • Ameaças ou solicitações urgentes
  • Ofertas que são boas demais para serem verdadeiras
  • Solicitações de informações pessoais ou de envio de fundos, movimentação de dinheiro ou informações de depósito direto
  • E-mails ou anexos inesperados​ 
  • Incoerência entre o assunto e a mensagem
  • Ausência de comunicação de suporte

Não sabe se um e-mail é real ou phishing? Siga esses passos: 

  1. Faça a lição de casa. Procure on-line informações sobre o suposto remetente. Você pode até pesquisar pelo e-mail exato que recebeu e ver se outros já o identificaram como uma fraude.
  2. Confirme solicitações usando um segundo método de verificação. Nunca envie uma mensagem de volta ao remetente respondendo ao e-mail original. Use um método separado de comunicação, como um número de telefone ou endereço de e-mail de uma fatura recente, a fim de entrar em contato com o remetente e confirmar a solicitação.
  3. Passe o cursor sobre os links no e-mail e veja se o endereço do hiperlink corresponde ao domínio legítimo do site da empresa. Se não tiver certeza, digite o hiperlink no navegador; não clique no link.
  4. Observe o nome do arquivo nos anexos. Considere se você estava esperando por ele ou se precisa dele. Nunca abra um anexo que não estava esperando, ou que termine em uma extensão que você não reconheça (por exemplo, NomeDoArquivo.exe quando diz que é um documento do Word).
  5. Avalie com cuidado. Em muitos casos, o uso do bom senso pode ajudar você a identificar se um e-mail é legítimo ou um phish.

Direcionado para um site e não sabe se é legítimo? Siga estas dicas: 

  • Confira o endereço. O nome da empresa no URL está escrito corretamente? O endereço começa com https em vez de http? Só porque começa com https não significa que seja legítimo, só significa que se trata de uma conexão segura. Mas se não começar com https, isso deve ser um alerta vermelho para não colocar nenhuma informação ali. De forma similar, ver um cadeado trancado ou uma chave na barra de endereços nem sempre significa que o site é legítimo. Mas se não estiver lá, não coloque nenhuma informação.  
  • Observe se há pop-ups. Se você acessar um site e houver muitos anúncios pop-up, tome cuidado.   
  • Preste atenção àsmarcas. O branding – o visual e a sensação – do site combinam com o que você espera da suposta empresa que está tentando acessar?

O que fazer se a sua empresa for vítima de um ataque de phishing?

Lembre-se, as fraudes de phishing são projetadas para enganar você. Você pode ter implementado as melhores medidas contra phishing e os melhores programas de conscientização, e ainda assim ter um usuário que caia em uma fraude de phishing. Acontece. O mais importante é que você esteja preparado para responder.

Considere essas etapas de recuperação e trabalhe com as suas equipes de segurança virtual para criar um plano apropriado de resposta e recuperação para a sua empresa:

Contenha a possível exposição

Se um usuário interagir com um e-mail de phishing malicioso, tente isolar a máquina e garantir que sua equipe de segurança virtual tenha acesso para investigar.

Mude as senhas

Force os usuários a mudar as senhas. Se múltiplas senhas forem usadas, é recomendável mudar todas elas, pois você pode não saber a extensão do que foi comprometido.

Siga seu processo de resposta a incidentes

Um ataque de phishing é um tipo de incidente de segurança virtual. Siga seus processos de resposta a incidentes, que devem incluir etapas para identificar o e-mail de phishing, localizá-lo nas caixas de entrada de outros usuários, removê-lo das caixas de entrada, investigar o impacto e fazer a triagem necessária.

Procure por malware

Use suas ferramentas de monitoramento para verificar o computador do usuário e a sua rede em busca de malware (software malicioso como vírus, trojans ou worms), atividades suspeitas ou anomalias.

Proteção pessoal

Dependendo da natureza do ataque de phishing, se o usuário divulgou quaisquer informações pessoais, o usuário poderá criar alertas de fraude com os departamentos apropriados de monitoramento de crédito. Se o ataque de phishing falsificou a identidade de uma empresa real ou se passou por ela, compartilhe essa informação com a outra empresa para que eles possam alertar outros usuários também.

Use o tempo para aprender

Assim como em qualquer ataque virtual, a lição aprendida com um ataque é muitas vezes mais valiosa do que os dados que os criminosos virtuais roubaram. Mantenha uma lista de lições aprendidas e avalie seus processos e controles existentes para determinar se poderia fazer alguma coisa de um modo diferente. E aumente ainda mais a conscientização sobre phishing dos seus usuários.

As fraudes de phishing são o principal vetor de ataques à segurança virtual por criminosos que usam a psicologia humana para convencer um destinatário a executar algum tipo de ação. Mantenha-se à frente dessas tentativas montando suas defesas e preparando seus funcionários para ajudar a detectar um phish.

Recursos adicionais: