0
0
Com o recente colapso do Silicon Valley Bank (SVB), estamos vendo uma culminação de eventos que levam a uma tempestade perfeita para os maus atores digitais. À medida que as empresas experimentam o pânico que vem com a súbita insegurança financeira, hackers e cibercriminosos estão sendo apresentados a uma oportunidade única e nefasta de explorar pontos fracos emergentes.
Vulnerabilidades expostas pelo colapso do banco
É fácil acreditar que a transferência de dados do consumidor pode ser um dos pontos de ataque mais fáceis para os cibercriminosos. No entanto, o verdadeiro alvo será (e tem sido) as pessoas. Os funcionários da SVB e as empresas que fizeram transações bancárias com ela são particularmente vulneráveis a uma enxurrada direcionada de ataques cibernéticos variados.
Os criminosos já começaram seus esforços em massa, usando compromissos de e-mail comercial relativamente simples e técnicas de phishing como parte de um ataque maior de engenharia social. Para facilitar isso, as pessoas têm comprado rapidamente domínios relacionados ao SVB que podem ser feitos para se parecerem com pagamento legítimo, emprego ou outros tipos de sites.
A engenharia social ataca emoções elevadas
Engenharia social é um termo que às vezes é usado para descrever ataques cibernéticos organizados que visam funcionários ou associados da empresa que podem ser facilmente manipulados para compartilhar informações confidenciais.
De acordo com um relatório recente divulgado pela IBM, o custo médio de um ataque de engenharia social em uma empresa foi de US $ 4,1 milhões e levou 270 dias para as empresas identificarem e conterem efetivamente. Imagine o dano periférico que pode ser feito durante esse período de tempo. As pessoas perdem seus empregos, os empregadores podem entrar em pânico e a reputação da empresa pode ser irreparavelmente comprometida.
No caso do recente colapso bancário, os cibercriminosos estão contando com o medo, a incerteza e os sentimentos de urgência que os ex-clientes da SVB provavelmente experimentarão. A maioria estará no processo de tentar recuperar seus fundos e realocá-los para uma instituição financeira estável.
Enquanto isso está acontecendo, há uma abundância de oportunidades para aqueles com más intenções de usar vários canais de comunicação na tentativa de aparecer como entidades legítimas. Eles podem tentar obter acesso a novos números de conta, credenciais pessoais ou senhas, ou até mesmo tentar manipular alguém para transferir dinheiro para uma conta fraudulenta.
Os ataques de engenharia social podem ser seguidos por uma série de informações – desde pedir a um funcionário do departamento financeiro que confirme os detalhes da conta com um e-mail de um banco legítimo até solicitar que os funcionários baixem software novo e necessário que acaba sendo malware.
As táticas de medo são predominantes, impulsionando a urgência e ações menos pensadas. No caso do colapso do SVB, esses e-mails podem estar afirmando que uma empresa deve “taxas” de algum tipo ou que recebeu um pagamento excessivo da Federal Deposit Insurance Corp.
A criatividade dos cibercriminosos parece ser ilimitada nos dias de hoje, até mesmo chamando um funcionário para aumentar o senso de medo ou urgência.
Como os funcionários e as empresas podem se proteger?
Agora é a hora de pensar no que pode ser feito para se antecipar a esta situação e a futuras como esta. O primeiro passo na prevenção de ataques de engenharia social é garantir que os funcionários sejam educados sobre ameaças de segurança cibernética. Treinamento regular e alertas situacionais devem ser uma parte normal das operações organizacionais. Além disso, os funcionários podem:
- Verifique o endereço de e-mail do remetente com a equipe de segurança da empresa e com a empresa-mãe do remetente.
- Evite responder a qualquer e-mail solicitando informações pessoais, especialmente quando inesperado ou que contenha uma ameaça.
- Nunca clique em links em um e-mail sem primeiro verificar a validade do remetente e a finalidade da mensagem.
- Sempre fique de olho em gramática ruim, gráficos ruins, sites inacabados e escolhas de palavras estranhas.
- Não baixe nada sem primeiro obter a confirmação de que é necessário de uma equipe de segurança interna.
- Não aja quando estiver em dúvida sobre qualquer coisa – entre em contato com a liderança para confirmar os próximos passos e sempre denuncie e-mails suspeitos.
Os cibercriminosos são inteligentes o suficiente para nunca deixar uma crise ir para o lixo. E suas tentativas de fraudar empresas e consumidores estão se tornando cada vez mais sofisticadas. À medida que enfrentamos a incerteza e as consequências desta crise bancária, devemos ser diligentes em nossas ações, continuando a cultivar a conscientização com os funcionários e implementar padrões rigorosos em torno das comunicações externas.
FONTE: DARK READING