0
0
Com mais de 20 anos de experiência em segurança, estou mais sintonizado com as nuances de esquemas de phishing sofisticados do que a maioria das pessoas. Mas, à medida que os cibercriminosos adotam táticas mais avançadas para roubar os dados das pessoas, até mesmo os especialistas em segurança mais experientes podem ser vítimas.
Em 2021, houve mais de 4.145 violações divulgadas publicamente que expuseram informações em 22 bilhões de registros. E como o phishing aumentou em 2022, 82% das violações envolveram um “elemento humano”, o que significa que os indivíduos desempenharam um papel na exposição de seus próprios segredos ou dos segredos de suas empresas.
Felizmente, a tecnologia veio em meu socorro em uma manhã recente (pré-café, devo acrescentar), depois que quase fui atraído. preenchimento automático — um sinal revelador de que a URL não correspondia a um site para o qual eu inseriria informações de login. Dei uma olhada mais de perto: com certeza, o URL estava um pouco errado.
Não sou o único na minha equipe que foi alvo. Aqui estão alguns exemplos de golpes nos quais os profissionais de segurança quase caíram, os aspectos da psicologia humana que os agentes da ameaça aproveitaram e as estratégias para garantir que você (e nós) não sejamos vítimas no futuro.
Explorando o “viés de confirmação”
Na manhã em questão, eu esperava um e-mail da American Express. Então, quando parecia que recebi um, o viés de confirmação entrou em ação. O e-mail parecia certo: a gramática e a ortografia eram perfeitas, o cartão de crédito representado parecia meu próprio cartão e reconheci imediatamente os quatro dígitos do número do cartão incluídos.
Eu cliquei. Assim que percebi que era uma farsa (obrigado, tecnologia, por não preencher minha senha automaticamente), percebi rapidamente outras discrepâncias. Os dígitos do número do meu cartão de crédito eram os primeiros quatro dígitos, não os quatro últimos, bem guardados. E embora a cor e o design do meu cartão de crédito tenham sido retratados com precisão, milhares de clientes sem dúvida têm o mesmo cartão.
O viés de confirmação — definido como “a tendência de processar informações procurando ou interpretando informações consistentes com as crenças existentes” — pode nos ajudar a processar as informações com eficiência. Mas também tem desvantagens, como dificultar nossa capacidade de processar informações críticas que contradizem nossas suposições.
Estar ciente de nossa tendência ao viés de confirmação é fundamental. Se você receber um e-mail, ligação ou mensagem de texto que não tem 100% de certeza de que é legítimo, reserve um momento para fazer uma pausa e verificar.
Predando nossa deferência à autoridade
Vários membros de nossa equipe de segurança receberam recentemente uma mensagem supostamente do CEO da 1Password, Jeff Shiner. No texto, “Shiner” explicou que estava indo para uma reunião e inacessível por telefone, mas precisava dessa pessoa para “executar uma tarefa rápida agora para progredir”.
“Alertas de chefe” como esse são cada vez mais comuns. Eles são uma forma de “pretexto” – um tipo de ataque de engenharia social no qual os criminosos criam uma história (ou pretexto) manipulando seu alvo para compartilhar informações privadas.
Se você receber um e-mail ou texto (conhecido como ataques ” smishing “, pois eles usam SMS) de seu chefe ou outro executivo, respire fundo e faça algumas perguntas a si mesmo antes de responder. Você pode confirmar o número de telefone? O que ela está pedindo (ou exigindo) de você? Para verificar a solicitação, considere responder por outro canal, como o Slack ou um endereço de e-mail que você já usou.
Fabricando Urgência
Outra maneira pela qual os golpistas podem nos pegar desprevenidos é criando uma falsa sensação de urgência. Quando estamos sobrecarregados, podemos ser tentados a apagar um incêndio rapidamente para que possamos retornar à nossa carga de trabalho regular.
As vítimas podem ser alertadas de que, se não pagarem uma conta imediatamente, sua conta será encerrada ou incorrerão em uma taxa de atraso. Eles podem ser informados de que, se não clicarem em um link para confirmar, o pacote não será entregue.
Um colega meu quase respondeu a uma fatura do PayPal que parecia legítima dizendo que eles deviam uma grande quantia em dinheiro pela assinatura do Norton Antivirus. Se isso fosse um erro, eles foram informados, deveriam responder antes de serem cobrados. Enquanto a solicitação foi enviada via PayPal, meu colega percebeu que o endereço de e-mail para o qual eles foram instruídos a responder era uma conta do Gmail.
Suas suspeitas foram confirmadas quando eles pesquisaram no Google “fatura do PayPal Norton” e viram várias referências a esse golpe. Para poupar outras vítimas, eles alertaram o PayPal.
A tecnologia pode salvar o dia
Embora o treinamento e os testes de phishing possam aumentar a conscientização, eles não podem resolver a causa raiz do problema. E embora os especialistas em segurança entendam o valor de práticas como ativar a autenticação de dois fatores ou multifatores (2FA/MFA) e atualizar o software regularmente, muitos consumidores não.
No final das contas, somos e continuaremos humanos – mesmo aqueles que monitoram ameaças à segurança para viver. A tecnologia é um suporte essencial para o erro humano, e é por isso que é a resposta final quando se trata de segurança cibernética.
Precisamos de tecnologias que reduzam os riscos de phishing — seja erguendo barreiras para golpistas, limitando o número de tentativas de phishing que atingem os consumidores ou marcando claramente os golpes como suspeitos. As chaves de acesso, que são extremamente seguras e fáceis de usar, são uma das soluções mais promissoras. Várias empresas líderes em tecnologia e segurança estão agora colaborando em um esforço para facilitar o uso de senhas em vários sistemas e dispositivos. Precisamos trabalhar juntos como uma indústria para desenvolver tecnologias como essas que levem em conta o erro humano. Cabe a nós construir sistemas que permaneçam seguros quando um insider é comprometido — consciente ou involuntariamente, por phishing, smishing ou qualquer outra estratégia que o futuro traga.
FONTE: DARK READING