0
0
À medida que a temporada de festas chega ao fim, agentes mal-intencionados estão tentando tirar proveito dos consumidores atormentados aumentando o volume de ataques de spam e phishing na forma de e-mails não solicitados e ameaças baseadas em e-mail – e as empresas devem sofrer.
Um relatório do Bitdefender Antispam Lab constatou que o volume de spam com tema de Natal aumentou consistentemente desde 27 de novembro, com picos de correspondência não solicitada observados entre 6 e 9 de dezembro.
Os golpistas estão empregando táticas comprovadas de pesquisas falsas, oportunidades de encontros on-line para feriados, ofertas de conteúdo adulto e descontos em compras de produtos de grife.
Grandes corporações, incluindo Netflix e Lowes, estão entre os alvos da falsificação, atraindo consumidores com ofertas exclusivas e brindes em dinheiro – o problema é que eles devem primeiro inserir números de cartão de crédito ou informações bancárias, é claro.
Um estudo recente descobriu que mais de um terço dos americanos foram vítimas de golpes de compras online durante as festas de fim de ano, perdendo em média US$ 387 como resultado.
Alina Bizga, analista de segurança da Bitdefender, explica que os agentes de ameaças são experientes quando se trata de segmentação. A temporada de férias tende a trazer uma série de campanhas promocionais de engenharia social destinadas a enganar os titulares de contas para coletar suas credenciais e realizar outras atividades nefastas.
“Eles atualizam suas táticas, iscas e observam o comportamento do consumidor, cronometrando seus ataques de engenharia social para pegar os usuários desprevenidos e roubar dados pessoais confidenciais e dinheiro ou comprometer seus dispositivos e contas financeiras”, diz ela.
Ramificações para negócios legítimos
Bizga acrescenta que, quando os agentes de ameaças imitam uma empresa legítima para induzir os consumidores a fornecer suas informações pessoais ou dinheiro, as organizações também podem sofrer perdas financeiras e danos à reputação.
“Scams que utilizam nomes comerciais populares que são proliferados por meio de campanhas de spam em larga escala podem afetar consumidores e funcionários, e as organizações precisam ter um plano de ação claro para minimizar possíveis danos após um golpe de phishing”, diz ela.
Isso inclui identificar comunicações fraudulentas, coletar informações sobre o escopo dos ataques e notificar os consumidores e as autoridades.
Sam Curry, diretor de segurança da Cybereason, diz que o excesso anual de spam sazonal torna o marketing legítimo para as empresas muito mais difícil.
“Quando os bandidos tentam parecer marketing legítimo, o marketing legítimo se torna menos confiável e tolerado”, diz ele. “Se sua fila de e-mail chega a 200 e-mails indesejados por dia e você se cansa de excluir 170 vezes, é mais provável que exclua o conteúdo de marketing legítimo enterrado do que não.”
Para os varejistas, a luta contra spam e phishing é dupla: proteger o cliente e proteger a organização.
Curry aponta que agora é o momento em que muitos varejistas vão para o azul.
“Eles podem ganhar mais em alguns dias do que em alguns meses no resto do ano, e é por isso que congelam a TI e as mudanças e se concentram em atender os clientes em escala”, diz ele.
Isso significa que qualquer soluço agora é ainda mais doloroso como resultado .
“Na segurança, medimos o risco em termos de probabilidade e impacto e, durante as festas de fim de ano, o impacto aumenta drasticamente”, diz ele. “Isso, por sua vez, muda as respostas e contingências das empresas, tornando-as mais propensas a pagar um resgate ou a tomar medidas drásticas para resolver questões e problemas”.
Atores de ameaças procuram vitórias rápidas e fáceis
Bizga diz que, embora os cibercriminosos estejam adaptando regularmente suas táticas, técnicas e procedimentos (TTPs), os vetores de ataque mais comuns vistos durante a temporada de festas incluem phishing, exploração de vulnerabilidades, erros humanos e configurações incorretas.
“Além disso, os ataques à cadeia de suprimentos podem explorar o acesso de terceiros, como fornecedores, distribuidores ou contratados, ao seu ecossistema”, observa ela. “Por exemplo, violar um pequeno fornecedor pode resultar no acesso a um cliente muito maior ou a toda a base de clientes.”
Michael DeBolt, diretor de inteligência da Intel 471, diz que os agentes de ameaças cibernéticas estão sempre procurando vitórias rápidas e fáceis que resultem em lucro considerável com um baixo grau de risco e esforço.
“O período de férias de final de ano apresenta uma janela de oportunidade única para os agentes de ameaças aumentarem os lucros ilícitos devido ao aumento da atividade online, à medida que varejistas e consumidores realizam transações de bens e serviços, fazem login em contas online, enviam e recebem produtos e muito mais ,” ele diz.
Manter-se alerta em toda a organização
DeBolt diz que as organizações de varejo precisam estar cientes das últimas campanhas de spam e phishing voltadas para seus clientes.
De posse dessas informações, as organizações podem empregar campanhas de conscientização direcionadas, alertando os clientes sobre possíveis ameaças e como evitá-las.
Ele observa que as equipes de segurança e fraude podem tomar medidas atenuantes ajustando os controles no ambiente para se defender contra ataques de controle de conta (ATO).
“As mesmas campanhas de spam de malware que visam os consumidores também podem ser usadas para atingir os funcionários dentro das organizações”, acrescenta.
Uma máquina infectada pertencente a um funcionário pode incluir informações de login para acessos remotos à rede ou credenciais para armazenamento de dados confidenciais, o que pode levar ao roubo de informações da empresa ou servir de ponto de apoio para a implantação de um ransomware na rede da empresa.
“Talvez a conclusão mais importante seja que a segurança da informação precisa ser praticada e compreendida em toda a organização, não apenas [pelos] defensores da rede”, diz ele.
Na luta contra spam e phishing de fim de ano, os varejistas precisam fornecer a seus clientes informações adequadas e canais através dos quais eles possam denunciar correspondências suspeitas enviadas em seu nome.
Bizga diz que as empresas também devem estabelecer campanhas sazonais de conscientização para informar os consumidores sobre quaisquer campanhas de spam/phishing em andamento e notificar o registrador de nomes de domínio aplicável para relatar atividades fraudulentas.
“Esforços corretivos adicionais devem incluir a notificação de órgãos legais e legais que possam ajudar com ações legais e aconselhar contra atores mal-intencionados”, diz ela.
Os perigos de perder a confiança do cliente
Patrick Harr, CEO da SlashNext, explica que os malfeitores aproveitam o reconhecimento da marca de grandes varejistas e outras empresas para atrair suas vítimas para uma falsa sensação de segurança.
“Quando uma vítima percebe que foi enganada, pode fazer com que perca a confiança na marca, mesmo que, é claro, não tenha nada a ver com o golpe real”, diz ele. “Como todos sabemos, perder a confiança do consumidor pode levar a reduções significativas na receita”, diz Harr.
Ele aconselha os varejistas a implantar um forte serviço de proteção de marca que verifica instâncias de representação de marca.
Uma vez identificado um golpe ou falsificação de identidade, deve ser feito um pedido, juntamente com evidências para provar que é ilegítimo.
“No entanto, isso pode levar algum tempo; portanto, os varejistas devem adotar um serviço automatizado que escaneie e relate continuamente essas falsificações”, diz Harr. “Isso não impedirá totalmente as falsificações, mas as empresas que reagirem se tornarão menos alvo de falsificações futuras.”
FONTE: DARK READING