0
0
Uma das melhores maneiras de evitar que os funcionários sejam vítimas desses ataques de engenharia social é ensiná-los os sinais.
As mensagens de texto são de longe a maneira mais responsiva de se comunicar remotamente: as pessoas frequentemente ignoram telefonemas e e-mails, mas 98% das mensagens de texto são lidas e 45% recebem uma resposta, de acordo com o Gartner.
O problema é que as mensagens de texto – ou SMS, para serviço de mensagens curtas – podem deixar as empresas abertas a ataques de engenharia social, chamados de “smishing”. A ameaça tornou-se exacerbada em meio a uma força de trabalho amplamente remota que se voltou para plataformas como Slack, Skype, WhatsApp e iMessage para se alcançar rapidamente.
“O SMS é o pior protocolo para usar nas comunicações”, diz April Wright, consultora de segurança da ArchitectSecurity.org. “Ele é amplamente suportado, e é por isso que ele ainda está em uso, mas fornece zero criptografia ou validação de autenticidade do remetente ou receptor.”
A maior popularidade das comunicações baseadas em texto é a mesma coisa que a torna suscetível a smishing, onde textos que aparentemente vêm de fontes confiáveis incluem, por exemplo, malware ou links para sites falsos. Foi o que aconteceu em uma campanha de setembro em que os golpistas se passavam pelo Serviço de Encomendas dos Estados Unidos,bem como uma campanha de fevereiro em que as mensagens aparentemente vieram do Federal Express.
Vishing é semelhante a smishing exceto que os criminosos usam tecnologias de voz – o telefone – para, por exemplo, enganar as pessoas para fornecer bits de dados pessoais. E ambos estão relacionados ao phishing, que inclui e-mail e impacta mais de 90% das organizações, deacordo com o Proofpoint do fornecedor de segurança. Também é caro: o custo médio de uma violação de dados é de US$ 3,86 milhões,de acordo com a IBM.
Como você pode proteger sua organização? Ferramentas podem ajudar, mas ensinar os funcionários a não cair nesses golpes, em primeiro lugar, pode ser a melhor estratégia de prevenção de todos eles.
Como evitar que funcionários sejam vítimas
Para se proteger contra ataques smishing, em particular, as equipes de segurança podem encorajar os funcionários a ignorar mensagens de pessoas ou empresas desconhecidas, a suspeitar de textos “urgentes” e a usar a cautela ao clicar em links dentro de mensagens de texto.
“Com ambos os smishing e vishing, a fonte pode ter algumas informações que os fazem parecer críveis – nomes de colegas de trabalho, nome de um chefe, números de telefone, nomes de departamento, etc. Essas são as informações aparentemente triviais que eles obtiveram através da coleta de informações, [smishing], phishing ou vishing”, diz Wright. “A coisa mais importante que podemos fazer é verificar.”
Mas muitas vezes mensagens de texto e correio de voz parecem estar vindo de uma fonte confiável. Os funcionários precisam estar cientes de que criminosos que tentam obter informações podem fingir ser:
- Um executivo da sua empresa que está em apuros e precisa de sua ajuda.
- Um funcionário contratado com pressa para terminar uma tarefa de tempo crítico para sua empresa.
- Um fornecedor pedindo que você pague uma conta ou revalida suas credenciais de pagamento.
- Um pesquisador de marketing perguntando sobre sua empresa.
- Um representante de banco ou cartão de crédito com informações de que sua conta tem um problema.
- Um funcionário da concessionária ameaçando cortar seu serviço a menos que você pague uma conta atrasada imediatamente.
- Uma instituição de caridade pedindo doações monetárias após um desastre natural (por exemplo, furacão, terremoto, inundação).
Currículo Cibernético
Uma vez que os funcionários entendam o “quem”, aqui estão três dicas para mantê-los alertas para possíveis golpes:
1. Grande imagem: Os ciberatacantes aproveitam a maneira como as pessoas normalmente respondem a certas situações sociais para enganá-las a divulgar informações confidenciais sobre si mesmos, seus negócios ou seus sistemas de computador. Mesmo a menor quantidade de dados pode ser útil para hackers que estão tentando completar um perfil que lhes permitirá ter acesso a informações de crédito, bancos e outras informações confidenciais. Assim, a primeira linha de defesa é treinar os funcionários a reconhecer seus sinais reveladores, mas muitas vezes sutis, bem como como suas informações podem ser usadas em um ataque de engenharia social.
2. Link-leery: O malware SMS geralmente é iniciado a partir de uma mensagem de texto contendo uma URL. Treinar a equipe para realizar uma pesquisa on-line rápida para encontrar um endereço web e, em seguida, digitá-lo na barra de endereço manualmente, em vez de apenas clicar no link enviado, pode salvar um mundo de dor mais tarde. Alguns links parecem ser para aplicativos legítimos, mas uma vez baixados, os funcionários percebem que suas senhas e outras credenciais foram roubadas.
Outros links são um vetor para ransomware, forçando os usuários a pagar para descriptografar seus telefones. Além disso, o malware SMS geralmente saqueia a lista de contatos da vítima, permitindo que ele se espalhe para cada um desses endereços. É claro ver como isso pode afetar toda uma organização.
3. Ouça: Vishing pode ser mais difícil de detectar porque as pessoas tendem a acreditar que uma voz é mais confiável do que um e-mail, de acordo com Wright. Os atacantes usam falsificação de ID, o que é semelhante à falsificação de e-mails em que ambos fazem parecer que a comunicação vem de uma fonte confiável. Para combater essa forma de engenharia social, instrua os funcionários a dizer a um interlocutor que retornarão sua ligação. Em seguida, faça-os procurar o escritório principal da empresa que o interlocutor está alegando representar, ligue para esse número e peça para falar com o interlocutor que está fazendo o pedido do seu funcionário.
“Se eles não podem falar ao telefone, é suspeito. Se eles se tornam argumentativos ou ameaçadores, é suspeito”, diz Wright. “Se alguém lhe pede para contornar um processo ou controle, é muito suspeito. Denuncie qualquer tipo de atividade suspeita ao seu gerente e à equipe de segurança imediatamente.”
Olhos e ouvidos bem abertos
Basta dizer que um pouco de ceticismo vai longe também.
“Precisamos perceber que nem todos são bons e estar atentos a perguntas que as pessoas normalmente não fazem, por esse sentimento quando ‘algo não está certo'”, diz Wright. “Esse sentimento manteve os humanos vivos e seguros por centenas de milhares de anos, e devemos ouvi-lo. Ele está lá para nos alertar para o perigo.
Na verdade, wright não seria dito para ver SMS desaparecer completamente.
“O SMS como tecnologia tem quase 40 anos”, diz ela. “Acredito fortemente que o SMS, juntamente com o e-mail, deve ser abandonado por soluções mais modernas e seguras.”
FONTE: DARK READING