O beabá de prevenção de Phishing para negócios

Junho 23, 2023
Wura T and Martha Apeh

Muitas pequenas e médias empresas colocam segurança cibernética em segundo plano devido aos custos adicionais sobre as operações do negócio, o que é compreensível considerando o capital limitado disponível para PMEs. 

No entanto, o valor da confiança do consumidor e de dados comerciais valiosos é maior do que os custos de implementação de uma estratégia de segurança cibernética proativa para a empresa.

Como proprietário de um negócio, você deve tomar precauções contra ameaças à segurança cibernética, tais como violações de dados causadas por malware, ransomware e, acima de tudo, ataques de phishing, que foram responsáveis por 90% de todas as violações de dados em 2019.

O que é phishing

Phishing é uma atividade fraudulenta executada por um cibercriminoso para obter informações comerciais seguras e confidenciais, tais como senhas de usuário, números de cartão de crédito, nomes de usuários, pins etc. Neste cenário, o threat actor envia um e-mail se passando por uma pessoa ou organização de confiança para induzir a vítima a clicar em um link ou anexo malicioso que garante a ele acesso aos dados que procura.

Dito isso, nem todos os ataques de phishing são iguais; alguns são mais sofisticados e complexos do que outros. Familiarizar-se com as suas diversas formas, particularmente aquelas direcionadas a negócios, é o primeiro passo para proteger a sua empresa da ameaça à segurança cibernética que o phishing representa. 

Elas são as seguintes:

  1. Spear Phishing 

Threat actors utilizam familiaridade para enganar o destinatário de um ataque de spear phishing fazendo-o acreditar que uma pessoa de autoridade dentro da organização encaminhou o e-mail.  Geralmente, os alvos de spear phishing são indivíduos que têm acesso a dados confidenciais que o threat actor necessita, tais como segredos comerciais.

Felizmente, esses tipos de fraudes podem ser facilmente identificados quando utilizamos um firewall de e-mail, também conhecido como secure email gateways (SEGs), e se você souber o que procurar – mais sobre isso depois.

  1. Business Email Compromise (BEC)

BEC, ou business email compromise, é um tipo de golpe de phishing que está crescendo rapidamente no qual fraudadores se passam por executivos ou proprietários de empresas para induzir empregados a revelar informações confidenciais ou transferir dinheiro.

Em outras palavras, o ladrão infiltra ou personifica uma conta de e-mail corporativo legítima para fraudar empresas, particularmente aquelas que aceitam ou utilizam gateways de pagamento.

O que torna esse tipo de phishing mais perigoso do que spear phishing é o fato que as mensagens de e-mail de BEC podem facilmente romper a proteção do SEG, principalmente porque elas não possuem anexos ou links. Desvio de folha de pagamento é um grande exemplo de BEC em ação. O threat actor se apresenta como uma autoridade e encaminha instruções para o RH de uma organização solicitando a alteração dos dados bancários de depósito de um empregado para uma conta alternativa, nesse caso, a conta do criminoso.

  1. Ataque de Whaling

Whaling é um ataque de phishing direcionado a executivos de alto escalão que utiliza um e-mail legítimo como disfarce na esperança de roubar dados confidenciais da empresa ou dinheiro de um outro executivo de alto escalão.

(Texto Alternativo: Close-up de uma baleia pulando) 

Nesse caso, o threat actor incitará a vítima a repassar informações que permitirão acesso a áreas sensíveis das redes financeiras e de dados da empresa. Essa técnica utiliza engenharia social ao pé da letra. Afinal, é mais fácil para o threat actor roubar uma grande quantia de dinheiro diretamente da pessoa com o poder e acesso para autorizar pagamentos.

  1. Phishing de credencial

E-mails de phishing de credencial são projetados para parecer comunicações legítimas sobre uma conta corporativa existente em plataformas como Linkedln e Office 365. O objetivo é induzir as vítimas a acessarem um site fictício.

Após alcançar esse objetivo, o criminoso consegue ter acesso a credenciais de login legítimas que podem ser usadas para comprometer serviços adicionais nos aplicativos hospedados em nuvem supramencionados.

Como proteger o seu negócio de ataques de phishing 

Comece com o componente mais essencial de qualquer plano de proteção de dados bem-sucedido: uma força tarefa de conscientização de segurança cibernética. Isso é, você precisa treinar funcionários para identificar e reportar potenciais e-mails de phishing assim que eles se deparem com algum.

Os pontos a seguir são alguns dos sinais de alerta mais óbvios de um e-mail de phishing:

  • A mensagem tem um tom assustador. Suspeite caso o e-mail contenha uma linguagem carregada de senso de urgência ou alarmismo incentivando você a “agir imediatamente”.
  • Erros de gramática. Fique atento a erros ortográficos sutis em sites aparentemente legítimos. É sempre preferível digitar o URL em vez de clicar em um link citado no corpo de um e-mail.
  • Anexos com extensões de arquivo suspeitas, tais como: .jar,.exe,.cmd,.bat, e .vbs. ou anexos em PDF com aparência estranha. Suspeite de links e arquivos não solicitados. 
  • Links de sites não seguros – somente entre com as suas informações de login em sites que tenham um SSL que é representado por um ícone de cadeado na barra de endereços, conforme mostrado abaixo.
  • Você conhece o remetente, mas é alguém com quem você não se comunica normalmente, especialmente se o conteúdo do e-mail não tem relação com as suas tarefas rotineiras de trabalho.

Na ponta da infraestrutura de TI:

Implante soluções antimalware e antivírus

Softwares antimalware e antivírus atuam como um firewall, detectando e-mails com anexos, links ou spam maliciosos que podem ter passado por SEGs.

Por que isso importa? 

A maioria dos softwares de segurança antivírus e antimalware podem detectar quando um link ou anexo não é o que aparenta ser, portanto, mesmo se um funcionário cair em uma tentativa astuciosa de phishing, ele não compartilhará informações comerciais confidenciais com as pessoas erradas.

Encripte dados empresariais confidenciais

Encriptação é a versão digital da criptografia utilizada para embaralhar mensagens para que apenas as partes que possuam a chave/criptograma do remetente possam descriptografar um arquivo.

Dependendo das suas necessidades, a encriptação pode ser executada em um disco completo (todos os arquivos, confidenciais ou não), em grandes volumes, ou apenas a nível de pasta/arquivo.  Dito isso, investir em programas de encriptação terceirizados pode ser uma opção mais viável para grandes organizações. De qualquer forma, recomendamos consultar um especialista em segurança cibernética para saber sobre as melhores opções de encriptação para a sua empresa.

Atualize proativamente as senhas da empresa

Para começar, faça o dever de casa e garanta que as senhas de cada conta corporativa sejam únicas e fortes, além de utilizar autenticação multifatorial para segurança adicional. Depois disso, atualize as senhas quando:

  • Uma senha não tenha sido alterada por mais de um ano
  • Após uma notificação de violação de dados de terceiros. 
  • Quando um malware for detectado em um software ou hardware
  • Quando uma conta estiver compartilhada com alguém que não necessita mais de acesso (por exemplo, um funcionário que está saindo da empresa)
  • Quando credenciais de acesso forem utilizadas em um site falso

Concluindo

Ao contrário de outros tipos de ameaças de segurança cibernética, phishing não envolve conhecimento técnico avançado, mas o perigo mora na sua facilidade de utilização. Isso porque ataques de phishing são projetados para atingir os computadores mais vulneráveis do planeta: humanos.

Então seja proativo, tome precauções, treine funcionários e fique de olho em qualquer coisa suspeita.

Related Posts

Scroll to Top