O que é phishing? Tudo o que você precisa saber para se proteger de e-mails fraudulent e muito mais

Views: 118
0 0
Read Time:23 Minute, 32 Second

Não clique nesse e-mail! Encontre tudo o que você precisa saber neste guia de phishing, incluindo como se proteger de uma das formas mais comuns de ataque cibernético.

O que é phishing?

Phishing é uma das formas mais fáceis de ciberataque para os criminosos realizarem, e uma das mais fáceis de se apaixonar. É também um que pode fornecer tudo o que os hackers precisam para saquear as contas pessoais e de trabalho de seus alvos.

Normalmente realizado por e-mail – embora o golpe tenha se espalhado além de e-mails suspeitos para chamadas telefônicas (as chamadas ‘vishing’) mídias sociais, serviços de mensagens (também conhecidos como ‘smishing’) e aplicativos – um ataque básico de phishing tenta enganar o alvo para fazer o que o golpista quer.

Isso pode estar entregando senhas para facilitar o hackeamento de uma empresa ou alterando dados bancários para que os pagamentos vão para os fraudadores em vez da conta correta.

Phishing também é um método popular para os atacantes cibernéticos fornecerem malware, incentivando as vítimas a baixar um documento ou visitar um link que instalará secretamente a carga maliciosa em ataques que podem estar distribuindo malware de trojan, ransomware ou todo tipo de ataques prejudiciais e disruptivos.

O objetivo e a mecânica precisa dos golpes variam: por exemplo, as vítimas podem ser enganadas para clicar em um link através de uma página web falsa com o objetivo de persuadir o usuário a inserir informações pessoais – estima-se que uma média de 1,4 milhão desses sites são criados todos os meses.

Esquemas de phishing mais complexos podem envolver um jogo longo, com hackers usando perfis falsos de redes sociais, e-mails e muito mais para construir uma relação com a vítima ao longo de meses ou até anos em casos em que indivíduos específicos são alvo de dados que eles só entregariam às pessoas em quem confiam.

Esses dados podem variar desde endereço de e-mail pessoal ou corporativo e senha, até dados financeiros, como dados de cartão de crédito ou credenciais bancárias on-line ou até mesmo dados pessoais, como data de nascimento, endereço e número de segurança social.

Nas mãos de fraudadores, todas essas informações podem ser usadas para realizar golpes como roubo de identidade ou uso de dados roubados para comprar coisas ou até mesmo vender informações privadas de pessoas na dark web. Em alguns casos, é feito por chantagem ou para envergonhar a vítima.

Em outros casos, o phishing é uma das ferramentas usadas para espionagem ou por grupos de hackers apoiados pelo Estado para espionar oponentes e organizações de interesse.

E qualquer pessoa pode ser uma vítima, desde o Comitê Nacional Democrata na corrida até as eleições presidenciais dos EUA em 2016, até infraestruturas críticas,a empresas comerciais e até mesmo indivíduos.

Qualquer que seja o objetivo final do ataque, o phishing gira em torno de golpistas enganando os usuários a desistir de dados ou acesso a sistemas na crença equivocada de que estão lidando com alguém que conhecem ou confiam.

Como funciona um ataque de phishing?

Um ataque básico de phishing tenta enganar um usuário para inserir dados pessoais ou outras informações confidenciais, e o e-mail é o método mais comum de realizar esses ataques.

O grande número de e-mails enviados todos os dias significa que é um vetor de ataque óbvio para criminosos cibernéticos. Estima-se que 3,7 bilhões de pessoas enviem cerca de 269 bilhões de e-mails todos os dias.

Pesquisadores da Symantec sugerem que quase um em cada 2.000 desses e-mails é um e-mail de phishing, o que significa que cerca de 135 milhões de ataques de phishing são tentados todos os dias.

A maioria das pessoas simplesmente não tem tempo para analisar cuidadosamente cada mensagem que pousa em sua caixa de entrada – e é isso que os phishers procuram explorar de várias maneiras.

Os golpes variam em seus alvos – alguns estão mirando em consumidores incautos. Aqui, sua linha de assunto de e-mail será projetada para chamar a atenção da vítima – técnicas comuns de campanha de phishing incluem ofertas de prêmios ganhos em concursos falsos, como loterias ou concursos por varejistas que oferecem um “voucher vencedor”.

Neste exemplo, para ‘ganhar’ o prêmio, as vítimas são solicitadas a inserir seus dados como nome, data de nascimento, endereço e dados bancários para reivindicar. Obviamente, não há prêmio e tudo o que eles fizeram foi colocar seus dados pessoais nas mãos de hackers.

Técnicas semelhantes são usadas em outros golpes nos quais os invasores afirmam ser de um banco ou outra instituição financeira que procuram verificar detalhes, lojas online que tentam verificar compras inexistentes ou às vezes – ainda mais atrevidamente – os invasores alegarão ser de empresas de segurança tecnológica e que precisam de acesso a informações para manter seus clientes seguros.

Outros golpes, geralmente mais sofisticados, visam os usuários de negócios. Aqui os atacantes também podem se passar por alguém de dentro da mesma organização ou de um de seus fornecedores e pedirão que você baixe um anexo que eles afirmam conter informações sobre um contrato ou acordo.

Em alguns casos, o objetivo pode ser coletar dados pessoais, mas em muitos casos também é usado para implantar sistemas de ransomware ou corda em uma botnet.

Os atacantes muitas vezes usarão eventos de alto perfil como uma isca para alcançar seus objetivos finais. Por exemplo, 2020 viu criminosos cibernéticos enviarem extensivamente e-mails que supostamente contêm informações sobre coronavírus como um meio de atrair pessoas para serem vítimas. Criminosos cibernéticos também tentaram usar a eleição presidencial dos EUA em 2020 como um meio de ataque.

Uma técnica comum é entregar um documento do Microsoft Office que exige que o usuário habilite macros para executar. A mensagem que vem com o documento visa enganar a vítima em potencial para permitir que as macros permitam que o documento seja visualizado corretamente, mas neste caso permitirá que os bandidos entreguem sua carga de malware.

Por que phishing é chamado de phishing?

O termo geral para esses golpes – phishing – é uma versão modificada de “pesca”, exceto neste caso o que está fazendo esta pesca é o bandido, e eles estão tentando pegá-lo e enrolar você com sua isca de e-mail sorrateiro.

Também é provavelmente uma referência ao histórico de hackers: alguns dos primeiros hackers eram conhecidos como ‘phreaks’ ou ‘phreakers’ porque eles fazem engenharia reversa de telefones para fazer chamadas gratuitas.

Quando começou o phishing?

O consenso é que o primeiro exemplo da palavra phishing ocorreu em meados da década de 1990 com o uso de ferramentas de software como o AOHell que tentaram roubar nomes de usuários e senhas da AOL.

Esses primeiros ataques foram bem sucedidos porque era um novo tipo de ataque, algo que os usuários não tinham visto antes. A AOL forneceu avisos aos usuários sobre os riscos, mas o phishing permaneceu bem sucedido e ainda está aqui há mais de 20 anos. Em muitos aspectos, tem permanecido muito parecido por uma simples razão – porque funciona.

Como o phishing evoluiu?

Embora o conceito fundamental de phishing não tenha mudado muito, houve ajustes e experimentações ao longo de duas décadas à medida que a tecnologia e como acessamos a internet mudou. Após os ataques iniciais da AOL, o e-mail tornou-se o vetor de ataque mais atraente para golpes de phishing à medida que o uso da internet doméstica decolou e um endereço de e-mail pessoal começou a se tornar mais comum.

Muitos golpes de phishing antigos vieram com sinais de que eles não eram legítimos – incluindo ortografia estranha, formatação estranha, imagens de baixa-res e mensagens que muitas vezes não faziam todo o sentido. No entanto, nos primeiros dias da internet, as pessoas sabiam ainda menos sobre ameaças potenciais que significavam que esses ataques ainda encontram sucesso – muitos deles ainda são eficazes.

Algumas campanhas de phishing permanecem muito, muito óbvias de detectar – como o príncipe que quer deixar sua fortuna para você, seu único parente há muito perdido, mas outros se tornaram tão avançados que é virtualmente impossível distingui-los de mensagens autênticas. Alguns podem até parecer que vêm de seus amigos, família, colegas ou até mesmo de seu chefe.

Qual é o custo de ataques de phishing?

É difícil colocar um custo total na fraude que flui de golpes de phishing, mas o FBI sugere que o impacto de tais golpes pode estar custando aos negócios dos EUA algo em torno de US $ 5 bilhões por ano, com milhares de empresas atingidas por golpes anualmente.

Um exemplo de um incidente de alto nível: em julho de 2017, a Universidade MacEwan em Edmonton, Alberta, Canadá, foi vítima de um ataque de phishing.

“Uma série de e-mails fraudulentos convenceu os funcionários da universidade a mudar informações bancárias eletrônicas para um dos principais fornecedores da universidade. A fraude resultou na transferência de US$ 11,8 milhões para uma conta bancária que os funcionários acreditavam pertencer ao fornecedor”, disse a universidade em um comunicado.

Como são os golpes de phishing?

O “spray e oração” é o tipo menos sofisticado de ataque de phishing, pelo qual mensagens básicas e genéricas são enviadas em massa para milhões de usuários. Estas são as mensagens “URGENTE do seu banco” e “Você ganhou na loteria” mensagens que procuram assustar as vítimas para cometer um erro – ou cegá-las com ganância. Alguns e-mails tentam usar o medo, sugerindo que há um mandado para a prisão da vítima e eles serão jogados na cadeia se não clicarem.

Esquemas desse tipo são tão básicos que muitas vezes não há sequer uma página web falsa envolvida – as vítimas são muitas vezes apenas instruídas a responder ao agressor por e-mail. Às vezes, os e-mails podem jogar sobre a pura curiosidade da vítima, simplesmente aparecendo como uma mensagem em branco com um anexo malicioso para download.

Foi assim que o ransomware Locky se espalhou em 2016 e, na época, foi uma das formas mais eficazes do malware criptografando arquivos ao redor. Muitas das campanhas de ransomware mais prejudiciais agora mudaram para outros meios de obter acesso a redes, como comprometer servidores voltados para a Internet ou portas remotas de desktop, embora recentemente tenha havido um ressurgimento de e-mails de phishing sendo usados para distribuir ransomware.

lockyemail.jpg
Um simples e-mail de phishing de distribuição Locky – parece básico, mas se não funcionasse, os atacantes não estariam usando-Imagem: AppRiver

Esses ataques são em sua maioria ineficazes, mas o grande número de mensagens que estão sendo enviadas significa que haverá pessoas que caem no golpe e inadvertidamente enviam detalhes para os atacantes cibernéticos que explorarão as informações da maneira que puderem.

O que é phishing de lança?

O phishing de lança é mais avançado do que uma mensagem de phishing regular e visa grupos específicos ou até mesmo indivíduos específicos. Em vez de mensagens vagas sendo enviadas, os criminosos as projetam para atingir qualquer coisa, desde uma organização específica, até um departamento dentro dessa organização ou até mesmo um indivíduo, a fim de garantir a maior chance de que o e-mail seja lido e o golpe seja um sucesso.

São esses tipos de mensagens especialmente criadas que têm sido frequentemente o ponto de entrada para uma série de ataques cibernéticos de alto perfil e incidentes de hackers. Tanto gangues cibernéticas quanto atacantes apoiados pelo Estado continuam a usar isso como meio de iniciar campanhas de espionagem.

Em um nível de consumo, ele pode ser projetado para parecer uma atualização do seu banco, pode-se dizer que você encomendou algo on-line, ele pode se relacionar com qualquer uma de suas contas online. Os hackers até são conhecidos por procurar vítimas de violações de dados e se passar por profissionais de segurança alertando as vítimas de compromisso – e que os alvos devem garantir que sua conta ainda esteja segura inserindo os detalhes de sua conta neste link útil.

Embora o spear phishing tenha como alvo consumidores e usuários individuais da internet, é muito mais eficaz para os criminosos cibernéticos usá-lo como um meio de se infiltrar na rede de uma organização-alvo, pois pode produzir uma recompensa muito mais lucrativa.

defray-hospital-lure.png
Documento de isca usado em um ataque de ransomware contra um hospital – os atacantes usaram logotipos e nomes oficiais para fazer o e-mail e o anexo parecerem legítimos.Imagem: Proofpoint

Esse tipo particular de mensagem de phishing pode vir em vários formulários, incluindo uma consulta falsa ao cliente, uma nota fiscal falsa de um contratante ou empresa parceira,uma falsa solicitação para olhar um documento de um colega, ou mesmo em alguns casos, uma mensagem que parece que vem diretamente do CEO ou de outro executivo.

Em vez de ser uma mensagem aleatória, a ideia é fazer parecer que veio de uma fonte confiável e persuadir o alvo a instalar malware ou entregar credenciais ou informações confidenciais. Esses golpes têm mais esforço, mas há um maior potencial retorno para bandidos, também.

É bem possível que os hackers comprometam a conta de um usuário e usem isso como um trampolim para novos ataques. Esses ataques de “sequestro de conversação” aproveitam o uso da conta de uma pessoa real para enviar e-mails adicionais de phishing para seus contatos reais – e como o e-mail vem de uma fonte confiável, a vítima pretendida é mais propensa a clicar.

O que é compromisso de e-mail de negócios?

Nos últimos anos, houve o surgimento de uma forma extremamente bem sucedida de ataque de phishing direcionado que vê os hackers se passarem por fontes legítimas – como gestão, um colega ou fornecedor – e enganar as vítimas para enviar grandes transferências financeiras para suas contas. Isso é frequentemente conhecido como Compromisso de E-mail de Negócios (BEC).

De acordo com o FBI, osgolpes comuns do BEC incluem: criminosos cibernéticos que se passam por um fornecedor com quem sua empresa lida regularmente que envia uma fatura com um endereço de e-mail (falso) atualizado; um CEO da empresa pedindo a um funcionário que compre cartões de presente para enviar como recompensas – e que seja enviado os códigos do cartão de presente imediatamente; ou um comprador recebendo um e-mail sobre a transferência de um pagamento antecipado.

Em cada caso, o atacante dependerá fortemente da engenharia social, muitas vezes tentando gerar um senso de urgência de que a transferência de dinheiro precisa ser feita agora, e em segredo.

Por exemplo, os invasores são conhecidos por comprometer a conta de e-mail de um fornecedor que eles usarão para enviar uma fatura ‘urgente’ que precisa ser paga à vítima.

ceo-fraud-trend-micro.jpg
A fraude do CEO vê os atacantes se passando por executivos e enviando várias mensagens para frente e para trás com as vítimas.Imagem: Trend Micro

Os criminosos cibernéticos também se envolvem no CEO Fraud, um subconjunto de ataque do BEC, onde os atacantes se passam por membro ou gerente do conselho, pedindo a um funcionário que transfira fundos para uma conta específica – muitas vezes reivindicando-o como uma questão de sigilo e urgência.

Em cada um desses casos, os invasores direcionam os fundos para contas bancárias que controlam e depois saem com o dinheiro.

Estima-se que os ataques do BEC foram responsáveis por metade do dinheiro perdido para criminosos cibernéticos durante 2019, e quase US$ 700 milhões estão sendo perdidos para esses ataques todos os meses.

O crescimento do trabalho remoto durante 2020 tornou indiscutivelmente mais fácil para os criminosos conduzir esses esquemas, porque as pessoas que trabalham em casa não podem falar tão facilmente com um de seus colegas para verificar se o e-mail é legítimo.

Que tipos de ataques de phishing existem?

Embora o e-mail ainda continue sendo um grande foco de atacantes realizando campanhas de phishing, o mundo é muito diferente de como era quando o phishing começou. Não é mais o e-mail o único meio de atingir uma vítima, pois o surgimento de dispositivos móveis, mídias sociais e muito mais forneceram aos atacantes uma variedade maior de vetores para usar para atacar vítimas.

O que é phishing nas redes sociais?

Com bilhões de pessoas em todo o mundo usando serviços de mídia social como Facebook, LinkedIn e Twitter, os atacantes não estão mais restritos a usar um meio de enviar mensagens para potenciais vítimas.

Alguns ataques são simples e fáceis de detectar: um bot do Twitter pode enviar uma mensagem privada contendo uma URL encurtada que leva a algo ruim, como malware ou talvez até mesmo um falso pedido de detalhes de pagamento.

Mas há outros ataques que jogam um jogo mais longo. Uma tática comum usada por phishers é posar como uma pessoa usando fotos arrancadas da internet, imagens de estoque ou perfil público de alguém. Muitas vezes estes estão apenas colhendo “amigos” do Facebook para alguma missão futura e não interagem com o alvo.

No entanto, às vezes a simples pesca de gatos velhas entra em jogo, com o atacante estabelecendo um diálogo com o alvo (muitas vezes masculino) – tudo isso enquanto se passa por uma persona falsa.

mia-ash-facebook-2.png
A campanha de phishing das redes sociais ‘Mia Ash’ viu os atacantes operarem uma falsa presença nas redes sociais como se a falsa persona fosse real.Imagem: SecureWorks

Depois de um certo tempo – pode ser dias, pode levar meses – o atacante pode inventar uma história falsa e pedir à vítima detalhes de algum tipo, como dados bancários, informações, até credenciais de login, antes de desaparecer no éter com suas informações.

Uma campanha dessa natureza teve como alvo indivíduos em organizações dos setores financeiro, petrolífero e tecnológico com engenharia social avançada baseada em torno de uma única e prolífica persona de mídia social que era absolutamente falsa.

Acredita-se que aqueles por trás de “Mia Ash” estejam trabalhando em nome do governo iraniano e enganado as vítimas para entregar credenciais de login e documentos privados.

O que é SMS e phishing móvel?

A ascensão dos serviços de mensagens móveis – Facebook Messenger e WhatsApp em particular – forneceu aos phishers um novo método de ataque.

Os atacantes nem precisam usar e-mails ou aplicativos de mensagens instantâneas para cumprir o objetivo final de distribuir malware ou roubar credenciais – a natureza conectada à internet das comunicações modernas significa que as mensagens de texto também são um vetor de ataque eficaz.

Os ataques de phishing por SMS – ou smishing – funcionam da mesma forma que um ataque de e-mail; apresentar à vítima uma oferta fraudulenta ou aviso falso como um incentivo para clicar em uma URL maliciosa.

whatsapp-phish-action-fraud.jpg
Mensagens de texto oferecem outro vetor de ataque aos criminosos.Imagem: Fraude de Ação

A natureza das mensagens de texto significa que a mensagem de smishing é curta e projetada para chamar a atenção da vítima, muitas vezes com o objetivo de entrar em pânico para clicar na URL de phishing. Um ataque comum de smishers é se passar por um banco e avisar fraudulentamente que a conta da vítima foi fechada, teve dinheiro sacado ou está comprometida de outra forma.

A natureza truncada da mensagem muitas vezes não fornece à vítima informações suficientes para analisar se a mensagem é fraudulenta, especialmente quando as mensagens de texto não contêm sinais de contos, como um endereço de remetente.

Uma vez que a vítima tenha clicado no link, o ataque funciona da mesma forma que um ataque regular de phishing, com a vítima enganada para entregar suas informações e credenciais ao autor.

O que é phishing de criptomoedas?

À medida que a popularidade – e o valor – de criptomoedas como Bitcoin, Monero e outros cresceram, os atacantes querem um pedaço da torta. Alguns hackers usam malware de cryptojacking, que secretamente aproveita o poder de uma máquina comprometida para minerar para criptomoedas.

No entanto, a menos que o invasor tenha uma grande rede de PCs, servidores ou dispositivos IoT fazendo suas licitações, ganhar dinheiro com esse tipo de campanha pode ser uma tarefa árdua que envolve meses de espera. Outra opção para bandidos é usar phishing para roubar criptomoedas diretamente das carteiras de proprietários legítimos.

Em um exemplo proeminente de phishing de criptomoedas,um grupo criminoso realizou uma campanha que copiou a frente do site de carteiras Ethereum MyEtherWallet e encorajou os usuários a inserir seus dados de login e chave privada.

Uma vez que essas informações foram coletadas, um script automático criou automaticamente a transferência do fundo pressionando os botões como um usuário legítimo faria, mas tudo isso enquanto a atividade permaneceu escondida do usuário até que fosse tarde demais. O roubo de criptomoedas em campanhas de phishing como esta e outros ataques está custando milhões.

Como posso detectar um ataque de phishing?

No centro dos ataques de phishing, independentemente da tecnologia ou do alvo em particular, está a decepção.

Embora muitos no setor de segurança da informação possam levantar uma sobrancelha quando se trata da falta de sofisticação de algumas campanhas de phishing, é fácil esquecer que há bilhões de usuários de internet – e todos os dias há pessoas que só estão acessando a internet pela primeira vez.

Grandes faixas de usuários de internet, portanto, nem sequer estarão cientes sobre a ameaça potencial de phishing, muito menos que eles podem ser alvo de atacantes usando-o. Por que eles suspeitariam que a mensagem em sua caixa de entrada não é realmente da organização ou amigo que afirma ser?

Mas enquanto algumas campanhas de phishing são tão sofisticadas e especialmente trabalhadas que a mensagem parece totalmente autêntica, existem algumas doações-chave em campanhas menos avançadas que podem tornar óbvio detectar uma tentativa de ataque.

Sinais de phishing: Baixa ortografia e gramática

Muitos dos operadores de phishing menos profissionais ainda cometem erros básicos em suas mensagens – notadamente quando se trata de ortografia e gramática.

Mensagens oficiais de qualquer grande organização são improváveis de conter ortografia ruim ou gramática, e certamente não repetidas instâncias em todo o corpo. Uma mensagem mal escrita deve agir como um aviso imediato de que a comunicação pode não ser legítima.

É comum que os invasores usem um serviço como o Google Translate para traduzir o texto de sua própria primeira língua, mas apesar da popularidade desses serviços, eles ainda lutam para fazer as mensagens soarem naturais.

Como identificar um link de phishing

É muito comum que mensagens de phishing por e-mail coagissem a vítima a clicar através de um link para um site malicioso ou falso projetado para fins maliciosos.

Muitos ataques de phishing conterão o que parece ser uma URL de aparência oficial. No entanto, vale a pena dar uma segunda olhada cuidadosa.

Em alguns casos, pode ser simplesmente uma URL encurtada,pela qual os atacantes esperam que a vítima não verifique o link e apenas clique. Em outros casos, os atacantes terão uma pequena variação em um endereço web legítimo e esperam que o usuário não note.

Em última análise, se você suspeitar de uma URL em um e-mail, passe por cima dela para examinar o endereço da página de entrada e, se parecer falso, não clique nela. E verifique se é a URL correta e não uma que se parece muito, mas ligeiramente diferente de uma que você normalmente esperaria.

Um endereço de remetente estranho ou incompatível

Você recebe uma mensagem que parece ser de uma conta oficial da empresa. A mensagem avisa que houve alguma atividade estranha usando sua conta e pede que você clique no link fornecido para verificar seus detalhes de login e as ações que ocorreram.

A mensagem parece legítima, com boa ortografia e gramática, a formatação correta e o logotipo certo da empresa, endereço e até endereço de e-mail de contato no corpo da mensagem. Mas e o endereço do remetente?

Em muitos casos, o phisher não pode falsificar um endereço real e apenas espera que os leitores não verifiquem. Muitas vezes, o endereço do remetente será listado apenas como uma sequência de caracteres em vez de enviados de uma fonte oficial.

Outro truque é fazer com que o endereço do remetente se pareça exatamente com a empresa – por exemplo, uma campanha que alega ser da ‘Equipe de Segurança da Microsoft’ pediu aos clientes que respondessem com detalhes pessoais para garantir que eles não fossem hackeados. No entanto, não há uma divisão da Microsoft com esse nome – e provavelmente não seria baseada no Uzbequistão, de onde o e-mail foi enviado.

Fique de olho no endereço do remetente para garantir que a mensagem seja legitimamente de quem ela diz que é.

Esta mensagem de phishing parece estranha e boa demais para ser verdade

Parabéns! Você acabou de ganhar a loteria/bilhetes de companhia aérea grátis/um voucher para gastar em nossa loja – agora basta nos fornecer todas as suas informações pessoais, incluindo seus dados bancários para reivindicar o prêmio. Como é o caso de muitas coisas na vida, se parece bom demais para ser verdade, provavelmente é.

Em muitos casos, e-mails de phishing com o objetivo de distribuir malware serão enviados em uma mensagem em branco contendo um anexo – nunca clicar em anexos misteriosos e não solicitados é uma tática muito boa quando se trata de não ser vítima.

Mesmo que a mensagem seja mais detalhada e pareça que veio de alguém dentro de sua organização, se você acha que a mensagem pode não ser legítima, entre em contato com outra pessoa da empresa – por telefone ou pessoalmente, em vez de por e-mail, se necessário – para garantir que ela realmente a enviou.

Como proteger contra ataques de phishing

Treinamento, treinamento e mais treinamento. Pode parecer uma ideia simples, mas o treinamento é eficaz. Ensinar a equipe o que procurar quando se trata de um e-mail de phishing pode ir longe para proteger sua organização contra ataques maliciosos.

Os exercícios permitem que os funcionários cometam erros – e aprendam crucialmente com eles – em um ambiente protegido. Em um nível técnico, desativar macros de serem executados em computadores em sua rede pode desempenhar um grande papel na proteção dos funcionários contra ataques. As macros não foram projetadas para serem maliciosas – elas foram projetadas para ajudar os usuários a executar tarefas repetitivas com atalhos de teclado.

enable-macros-document-digital-guardian.png
Documentos descartados por ataques de phishing muitas vezes pedem à vítima para habilitar Macros de modo a permitir que a carga maliciosa funcione.Imagem: Guardião Digital

No entanto, os mesmos processos podem ser explorados pelos invasores, a fim de ajudá-los a executar códigos maliciosos e soltar cargas de malware.

A maioria das versões mais recentes do Office desativam automaticamente macros, mas vale a pena verificar se este é o caso de todos os computadores da sua rede – ele pode agir como uma grande barreira para e-mails de phishing tentando entregar uma carga útil maliciosa.

A autenticação multifatorial também fornece uma forte barreira contra ataques de phishing porque requer um passo extra para os criminosos cibernéticos superarem para realizar um ataque bem-sucedido. De acordo com a Microsoft, o uso de autenticação multifatorial bloqueia 99,9% das tentativas de hacks de contas.

Qual é o futuro do phishing?

Pode ter existado por quase vinte anos, mas o phishing continua sendo uma ameaça por duas razões – é simples de realizar – mesmo por operações de uma pessoa – e funciona, porque ainda há muitas pessoas na internet que não estão cientes das ameaças que enfrentam. E até mesmo os usuários mais sofisticados podem ser pegos de vez em quando.

Para pessoas experientes ou tecnologicamente experientes, pode parecer estranho que haja pessoas por aí que podem facilmente cair em um golpe alegando “Você ganhou na loteria” ou “Nós somos o seu banco, por favor, digite seus detalhes aqui”.

Além disso, o baixo custo das campanhas de phishing e as chances extremamente baixas de golpistas serem pegos significa que continua sendo uma opção muito atraente para os fraudadores.

Por causa disso, o phishing continuará à medida que os criminosos cibernéticos buscam lucrar com o roubo de dados e a queda de malware da maneira mais fácil possível. Mas ele pode ser parado e sabendo o que procurar e empregando treinamento quando necessário, você pode tentar garantir que sua organização não se torne uma vítima.

FONTE: ZDNET

Previous post Por que os orçamentos da Cibersegurança precisam intensificar os investimentos em home office: uma grande lacuna de segurança no dever de cuidar de CEOs e diretores de conselhos?
Next post O que diz a LGPD sobre legítimo interesse?

Deixe um comentário