3 maneiras de impedir ataques de phishing em 2023

Os varejistas não são as únicas pessoas ansiosas pelas festas de fim de ano. Também será um período movimentado para golpistas e fraudadores, pois eles enviam cupons, descontos e ofertas aos consumidores e até mesmo vales de agradecimento aos funcionários, supostamente provenientes de organizações e marcas em que confiam.

Na verdade, o CIO relatou que leva apenas alguns minutos para hackers experientes configurarem um ataque de engenharia social contra empresas (e seus provedores de serviços gerenciados) que se consideram seguras e protegidas.

Embora o phishing por e-mail – mensagens enganosas projetadas para induzir uma pessoa a compartilhar dados confidenciais (ou mesmo dinheiro) ou injetar software malicioso no sistema do destinatário – seja um dos truques mais antigos, os ataques cibernéticos por e-mail são responsáveis ​​por 90% de todas as violações de dados ainda hoje, de acordo com a pesquisa de Hoxhunt. Juntos, esses ataques custam US$ 6 trilhões da economia global.

Embora consumidores e indivíduos tenham se conscientizado desses ataques ao longo dos anos – mesmo que não estejam cientes do termo “phishing” – eles ainda são surpreendentemente comuns e eficazes.

Então, quais são os diferentes tipos de ataques de phishing predominantes hoje? Quais métodos os especialistas em segurança cibernética estão usando para minimizar o impacto desses ataques? Como as empresas combatem essas ameaças em uma escala mais ampla e evitam tentativas persistentes de phishing?

Vamos cavar mais fundo.

Entenda os diferentes tipos de ataques de phishing

Os phishers usam táticas de engenharia social por meio de quase todos os formatos e conexões de comunicação para lançar ataques de phishing. Sem surpresa, tem mais para “pescar” do que e-mail:

• Phishing de e-mail: os invasores enviam e-mails com anexos que injetam malware no sistema quando abertos ou links maliciosos que levam a vítima a um site onde são induzidos a revelar dados confidenciais.
• Spear phishing: os invasores enviam e-mails para alvos específicos que eles sabem que têm as informações de que precisam – como todos no departamento de vendas ou de TI.
• Whaling: E-mails enviados a executivos seniores, como CEOs ou CFOs, como parte de um golpe de direcionamento de alto perfil.
• Smishing: Phishing em mensagens de texto (SMS).
• Vishing: Voice over IP (VoIP) e Plain Old Telephone Services (POTS) também são suscetíveis a ataques de phishing – os invasores usam software de síntese de fala e chamadas automatizadas para solicitar às vítimas que compartilhem detalhes bancários e credenciais de login.
• Phishing de mídia social: Ataques executados em plataformas sociais como Instagram, Twitter, Facebook ou LinkedIn – projetados para assumir sua conta ou usá-la para postar mensagens como parte de uma campanha maior.
• Pharming: Os invasores usam o envenenamento de cache DNS (substitui um endereço IP legítimo em cache por um malicioso) para redirecionar as vítimas para sites falsos (mas de aparência semelhante) onde suas credenciais de login são capturadas.

Treine os funcionários para reconhecer tentativas de phishing

Além de serem comuns, os ataques de phishing se tornaram tão lucrativos (para os invasores) que os maiores cibercriminosos foram em grande parte além dos clientes individuais. Em vez disso, eles visam funcionários da empresa que podem ser enganados para revelar informações muito mais confidenciais, em uma escala muito maior.

“Um exemplo pode ser um banco – não queremos visar seus clientes, achamos que isso é estúpido e lento, queremos visar o próprio banco”, disse Mike Connory, CEO da Security In Depth.

Como os ataques de phishing visam predominantemente o elemento humano, os especialistas em segurança cibernética concordam que a melhor defesa contra isso é fornecer treinamento de conscientização de segurança aos funcionários da empresa. Isso ajuda na identificação precoce de ataques e aumenta a higiene geral da segurança. Algumas precauções básicas que a equipe de todos os departamentos precisam tomar são:

Mantenha as contas de e-mail e do site (e até mesmo dispositivos) separadas para uso pessoal e profissional sempre que possível.
Saiba que empresas legítimas nunca solicitarão senhas, informações pessoais, financeiras ou corporativas. Confirme, independentemente, com o instituto ou organização, se puder.
Nunca copie e cole links de e-mails; nunca clique em URLs encurtadas a menos que você confie na fonte.
Verifique o endereço de e-mail do remetente. Se você não o reconhecer, tenha cuidado ao abrir.
Leia atentamente todos os URLs de todos os sites que você faz login e compartilha, acessa ou cria dados confidenciais.
A maioria das mensagens e e-mails de phishers contém erros de ortografia e gramática. Eles não são revisados profissionalmente.
Mensagens ou chamadas coercitivas ou ameaçadoras são uma bandeira vermelha. Instituições legítimas não enviarão tal comunicação, a menos que haja uma disputa legal. Dupla verificação.
Não faça login em redes WiFi nas quais você não confia.

Feitos corretamente, esses passos simples podem tornar sua equipe defensores da sua rede. “Você costuma ouvir que as pessoas são o elo fraco da segurança. Isso é muito cínico e não considera os benefícios de usar a força de trabalho de uma empresa como primeira linha de defesa”, disse Riaan Naude, Chefe Global de Consultoria e Performance.

“Os funcionários podem detectar um número significativo de ameaças em sua caixa de entrada se puderem seguir um processo de relatório indolor que produz resultados tangíveis”, acrescentou Naude. Isso é importante porque a taxa de notificação de incidentes de tentativa de phishing atualmente é de apenas 3%.

Use software habilitado para IA para implementar medidas de segurança antiphishing

O treinamento interno de segurança cibernética não é mais um processo que exige muito tempo e habilidade, dada a prevalência de plataformas de conscientização de phishing baseadas em IA. Hoje, o ML permite programas de treinamento de segurança personalizados e gamificados para cada indivíduo com base em seu nível atual de conscientização, posição na organização e comportamento de navegação.

Além disso, a IA é uma ferramenta potente nos braços dos especialistas em segurança cibernética. Ela aumenta a eficiência e eficácia das políticas de segurança, melhorando e automatizando os procedimentos de detecção de ameaças de rotina. A automação habilitada para IA pode ajudar as organizações a implementar uma variedade de medidas antiphishing:

Implante ferramentas antimalware, antivírus e antispam e mantenha os principais aplicativos corrigidos e atualizados.
Implante padrões de autenticação de e-mail em servidores de e-mail corporativos para checar e verificar e-mails de entrada. Alguns protocolos como o Domain-based Message Authentication Reporting and Conformance (DMARC) ajudam administradores e usuários a bloquear e-mails não solicitados de forma eficaz.
Agende treinamentos regulares de segurança e phishing para funcionários e medidas corretivas para aqueles que falham nos testes.
Modele a comunicação legítima dentro da organização – com base no comportamento previsível de usuários regulares, elaborando padrões de interação entre várias entidades e analisando o contexto das mensagens – e atribuindo pontuações de segurança dinâmicas (com limites de anomalias) aos e-mails.
Integre-se aos serviços de e-mail na nuvem para bloquear e-mails maliciosos que filtram a segurança nativa da plataforma anterior.
Dê aos funcionários um caminho de um clique para relatar e-mails suspeitos e automatizar a categorização, análise e gerenciamento desses e-mails.

Defesa contra phishing que prioriza as pessoas

Embora a eficácia de toda e qualquer medida de segurança dependa de pessoas, processos e tecnologia, o phishing pode ser derrotado pela própria tática em que prospera: engenharia social. As soluções que ajudam as pessoas a se tornarem mais inteligentes, conscientes, resilientes e responsivas vencerão as tentativas de phishing mais avançadas. Por que não armar sua equipe para ser a vencedora?