9 dicas para evitar phishing

O phishing, no qual um invasor envia um e-mail falso, engana o destinatário para que ele forneça informações ou baixe um arquivo, é uma prática de décadas que ainda é responsável por inúmeras dores de cabeça de TI. O phishing é o primeiro passo para todos os tipos de ataques, desde o roubo de senhas até o download de malware que pode fornecer um backdoor em uma rede corporativa.

A luta contra o phishing é frustrante e cai diretamente sobre os ombros da TI.

Conversamos com uma ampla gama de profissionais para descobrir quais ferramentas, políticas e práticas recomendadas podem ajudar organizações e indivíduos a interromper ataques de phishing ou pelo menos mitigar seus efeitos. A seguir estão suas recomendações para prevenir ataques de phishing.

1. Não responda a gatilhos emocionais

Armond Caglar, Consultor Principal de uma empresa de ciência de dados cibernéticos, a Cybeta, diz que os usuários devem entender a psicologia por trás dos e-mails de phishing para resistir a eles. “Os e-mails de phishing mais comuns e bem-sucedidos geralmente são projetados com iscas contendo gatilhos psicológicos que incentivam o usuário a agir rapidamente, geralmente por ‘fear of missing out’ [medo de perder algo que está acontecendo no mundo tecnológico]”, explica ele. “Isso pode incluir e-mails supostamente de empresas de encomendas indicando uma tentativa de entrega perdida, prêmios não reivindicados ou mudanças importantes em várias políticas corporativas de um departamento de RH. Outras iscas podem incluir gatilhos projetados para incentivar um usuário a agir por um senso de moral, obrigação, ganância e ignorância, incluindo aqueles que capitalizam os eventos e tragédias atuais”.

Ele acrescenta que “em termos de como reconhecer e evitar ser enganado por phishing, é importante que o usuário se pergunte: ‘Estou sendo pressionado a agir rapidamente?’ ou ‘Estou sendo manipulado?'”

O antídoto para esse tipo de ansiedade induzida é lembrar que você sempre pode dar um passo atrás e respirar fundo. “Se um e-mail já parece estranho e está pressionando você a fazer algo (ou aumentando sua pressão arterial), é provável que seja um e-mail de phishing”, diz Dave Courbanou, Técnico de TI da Intelligent Product Solutions. “É rápido e fácil para um colega ou profissional de TI verificar um e-mail para você. A limpeza após um phishing bem-sucedido pode levar dias, semanas ou meses, dependendo do que estava em jogo, então não hesite em perguntar ao seu departamento de TI contatos para verificar qualquer e-mail para você por qualquer motivo”.

2. Estabelecer políticas e procedimentos para solicitações de emergência

Muitas vezes, os phishers estarão brincando com suas emoções, apresentando seu pedido como uma emergência dentro de sua empresa, com a esperança de que você transfira fundos para eles ou entregue credenciais. Paul Haverstock, Vice-Presidente de Engenharia da Cloudways, diz que, para combater isso, sua empresa deve definir procedimentos de emergência claros. “Quando os funcionários acreditam que receberam demandas urgentes de seus empregadores, eles podem se sentir intensamente pressionados a agir imediatamente”, explica ele. “As empresas precisam deixar absolutamente claro por que e quando podem entrar em contato com os trabalhadores com solicitações de emergência, explicando como podem verificar a legitimidade. E precisam enfatizar quais solicitações nunca farão, como exigir transferências bancárias imediatas sem usar o padrão de processos de pagamento”.

Na verdade, todos os seus processos internos devem estar alinhados para garantir que uma tentativa de phishing não cause muitos problemas. “Qualquer solicitação de informações confidenciais, incluindo senhas, deve ser confirmada por um meio diferente”, diz Scott Lieberman, que atuou como instrutor de TI com foco em segurança de rede no Sinclair Community College em Dayton, OH. “Se você receber um e-mail do seu supervisor solicitando a senha para o back-end do site da empresa, acesse o Slack ou o Microsoft Teams – ou pegue o telefone para ligar para o seu supervisor – para perguntar sobre isso”.

“Um passo importante na prevenção que as empresas podem tomar é implementar políticas básicas sobre o compartilhamento de dados confidenciais”, acrescenta Larry Chinski, Vice-Presidente de Estratégia Global de IAM da One Identity. “Isso pode ser tão simples quanto garantir que apenas um pequeno grupo de funcionários seja informado sobre informações financeiras e credenciais de login, o que pode minimizar a chance de erro humano. Você pode garantir ainda mais segurança criando um processo de hierarquia analítica para quando dados altamente confidenciais são solicitados. Isso permitirá um tempo de aprovação mais longo e fornecerá uma análise mais profunda de solicitações suspeitas”.

Indo um passo além, Jacob Ansari, Advogado de Segurança e Analista de Tendências Cibernéticas Emergentes da Schellman, avaliadora global independente de segurança e conformidade de privacidade, diz que as empresas podem trabalhar para tornar suas comunicações internas infalíveis. “A coisa mais importante que você pode fazer é fazer com que os processos de negócios legítimos não pareçam tentativas de phishing”, explica ele. “Em vez de enviar um link em um e-mail para os funcionários clicarem, dê instruções para fazer login em uma intranet corporativa. A liderança da empresa deve parar de anexar documentos do Office por e-mail e, em vez disso, colocar os documentos em repositórios de arquivos apropriados e comunicar aos funcionários. Links e anexos são os principais veículos para ataques de phishing; minimizar seu uso legítimo reduz o emaranhado no qual os ataques de phishing podem se esconder”.

3. Treine e teste a equipe para identificar e-mails de phishing

Muitos, se não a maioria de seus funcionários, provavelmente acreditam que já podem identificar um e-mail de phishing, embora possam estar confiantes demais. “Todos nós já ouvimos as coisas básicas a serem procuradas, como não se dirigir a você pelo nome ou gramática ruim no corpo de um e-mail”, diz Michael Schenck, Consultor Sênior de Segurança Cibernética da CyZen. “Infelizmente, vimos hackers melhorarem o uso da linguagem com alguns bots de IA de linguagem natural”.

Manter a equipe na vanguarda significa educá-la continuamente – e testar a extensão de seu conhecimento. “Contrate uma empresa de testes terceirizada para trabalhar com você para personalizar ataques de phishing”, sugere Mieng Lim, Vice-Presidente de Gerenciamento de Produtos da Digital Defense da HelpSystems. “Os ataques personalizados normalmente utilizam uma variedade de ferramentas e podem ser realizados de maneira ‘baixa e lenta’, de modo a ser o mais oculto possível, a fim de determinar verdadeiramente a capacidade de sua equipe de impedir um ataque sofisticado”.

Se você preferir manter as coisas em casa, Andreas Grant, Engenheiro de Segurança de Rede e fundador da Networks Hardware, recomenda estruturas de phishing de código aberto, como Gophish, que podem ajudar a organizar testes. “Apresentei um sistema de recompensa para pessoas que podem sinalizar esses golpes”, explica ele. “Ao gamificar o sistema, ele mantém todos na ponta dos pés enquanto torna as coisas divertidas ao mesmo tempo. Também mantém a conversa em andamento, por isso é vantajoso tanto do ponto de vista do usuário quanto do departamento de TI. Você também tem uma ideia de até que ponto as pessoas caem nesses golpes quando você executa esses testes, para que você possa usar esses dados para identificar os pontos fracos e se concentrar nessas partes específicas nos treinamentos”.

O treinamento também deve ser adaptado para públicos específicos. “As equipes de segurança podem educar unidades de negócios específicas sobre as campanhas de phishing que podem atingi-las”, diz Jonathan Hencinski, Vice-Presidente de Operações de Segurança da Expel. “Por exemplo, os desenvolvedores podem ver campanhas com temas da AWS, enquanto os recrutadores podem ver iscas de phishing com temas de currículo”.

4. Incentive os usuários a denunciar e-mails de phishing

Um sistema de recompensa para detectar phishing pode ir além dos testes e entrar em cenários do mundo real, diz David João Vieira Carvalho, CEO e Cientista-Chefe da Naoris Protocol, fabricante de redes de malha de segurança cibernética. Carvalho sugere a criação de um sistema interno de denúncias para possíveis golpes de phishing. Se a equipe de segurança de TI identificar positivamente o e-mail como uma tentativa de phishing, ela circulará informações sobre ele e colocará o denunciante em um pool para uma rifa mensal de US$ 1.000. “Agora você tem uma força de trabalho que está se esforçando para proteger seus negócios”, diz ele. “Milhões de dólares em risco foram mitigados por US$ 12.000 por ano – uma fração do seu orçamento de mitigação de riscos cibernéticos – mudando o processo de ‘baseado em medo’ para ‘baseado em recompensas’, algo que já funciona muito bem para espaços corporativos conscientes de risco”.

Josh Smith, Analista de Ameaças Cibernéticas da Nuspire, orienta que “nunca exclua ou puna um usuário que foi vítima”, diz. “Eles são vítimas da situação, pois esses e-mails maliciosos são projetados para atacar as emoções humanas”.

E se você espera que as pessoas denunciem e-mails, você deve simplificar isso, diz Cyril Noel-Tagoe, Pesquisador Principal de Segurança da Netacea. “Processos de relatório complicados – por exemplo, anexar uma cópia do e-mail suspeito a um novo e-mail e enviá-lo para a TI – devem ser substituídos por alternativas fáceis de usar, como um botão de relatório integrado ao cliente de e-mail”, diz ele. “Isso ajudará a promover uma cultura que normaliza a denúncia de e-mails suspeitos”.

5. Monitore a dark web em busca de credenciais da empresa

“Monitorar a dark web deve ser uma parte essencial da estratégia de qualquer organização para evitar ataques de phishing antes que eles atinjam as caixas de entrada dos funcionários, já que muitas operações de phishing começam com credenciais da empresa que vazaram ou foram vendidas em mercados ou fóruns da dark web”, explica Dr. Gareth Owenson, CTO da Searchlight Security. “O monitoramento contínuo do nome e dos endereços de e-mail corporativos da empresa pode alertar as empresas para o fato de que estão sendo discutidas e estão prestes a ser alvo de uma campanha de phishing, enquanto os criminosos estão na fase de reconhecimento”.

A dark web pode conter mais do que apenas conversas, pois esse reino sombrio geralmente serve como um mercado para credenciais roubadas. “Senhas vazadas junto com endereços de e-mail também podem alertá-los sobre o risco de ataques de comprometimento de e-mail comercial, um tipo particularmente complicado de phishing em que criminosos exploram funcionários enviando e-mails de contas legítimas e invadidas”, explica Owenson. “O conhecimento de que as senhas foram comprometidas permite que as organizações imponham atualizações de senhas para os indivíduos afetados”.

6. Saiba que tipos de informação fazem de você um alvo

Todos devem estar cientes dos potenciais perigos de phishing, é claro, mas os novos funcionários em particular precisam estar atentos, diz Ansari, da Schellman. “Os phishers procuram atualizações no LinkedIn ou similares e, em seguida, visam essas pessoas, pensando que são as mais vulneráveis”, explica ele. “Avisá-los sobre esses possíveis ataques e que as tentativas podem ter como alvo seus endereços de e-mail pessoais ou vir como mensagens SMS”.

Outro grupo dentro da empresa que precisa estar em constante vigilância: os habitantes da C-suíte. “Há um surgimento de ataques whaling ultimamente, que visam indivíduos de alto valor”, diz Ricardo Villadiego, fundador e CEO da empresa de testes de segurança Lumu. “Os líderes seniores precisam criar novos protocolos sobre privacidade de dados. Executivos e funcionários de nível sênior devem ser incentivados a usar restrições de privacidade nas mídias sociais. Eles devem certificar-se de eliminar ou minimizar informações pessoais de perfis públicos da melhor maneira possível, evitando informações como aniversários e locais regulares que podem ser aproveitados em ataques”.

No geral, a transparência pode ser uma virtude, mas as empresas devem estar cientes de que qualquer informação que colocar on-line pode ser usada por esses tipos de golpistas disfarçados de funcionários ou conhecedores. “Revise as informações publicamente disponíveis que podem ser aproveitadas em um ataque contra sua empresa”, recomenda Adam King, Diretor da Sentrium, uma empresa que oferece avaliação de segurança cibernética e testes de penetração. “Verifique seu site, mídia social e até mesmo perfis de funcionários. Seus anúncios de emprego contêm detalhes sobre as tecnologias usadas por sua organização?”

Em outra nota, falamos muito sobre e-mail, mas vale a pena ter em mente que os canais de comunicação relacionados aos negócios estão se proliferando rapidamente – e os phishers podem usar todos eles, e tanto os usuários quanto a TI precisam estar cientes disso. “Os ambientes de comunicação empresarial estão cada vez mais complexos, pois agora incluem bate-papo, colaboração, e-mail e redes sociais”, diz Chris Lehman, CEO da SafeGuard Cyber. “Os agentes de ameaças sabem que essa complexidade é um desafio para as equipes de segurança e estão se aproveitando disso. Os ataques de phishing atuais têm a mesma probabilidade de se originar nas mídias sociais ou em um aplicativo de mensagens, assim como no e-mail. Você deve avaliar o uso comercial para todos canais de comunicação, por departamento. Entenda como o canal é usado, quais dados passam por ele e como são provisionados. Por exemplo, o Marketing usa um espaço de trabalho do Slack para se conectar a parceiros e fornecedores?”

7. Use as ferramentas e tecnologias certas para evitar phishing

Obviamente, o ideal seria que seus usuários nunca recebessem e-mails de phishing. Embora essa seja uma meta impossível, você pode reduzir os números, diz Dave Hatter, Diretor de Crescimento de Negócios da provedora de serviços de TI gerenciados Intrust IT. “Use uma boa solução de pré-filtragem de e-mail – uma que funcione antes que o spam atinja o servidor de e-mail”, sugere ele, recomendando a lista do Gartner como ponto de partida. Para aqueles que usam o Microsoft 365, ele recomenda o Microsoft 365 Advanced Threat Protection para fornecer filtragem adicional.

A implementação da autenticação multifator (MFA) deve ser um dado adquirido, pois impede um phisher que consegue enganar alguém para que desista de seu nome de usuário e senha de fazer login em redes corporativas. Ray Canzanese, Diretor de Pesquisa de Ameaças da Netskope, sugere outras ferramentas que estendem essa proteção. “Logon único (SSO) significa que você só precisa habilitar a MFA em um local e aplicá-la a todos os seus serviços”, diz ele. “Um Secure Web Gateway (SWG) pode bloquear páginas de phishing, usando uma combinação de inteligência de ameaças, assinaturas, heurística e até machine learning para identificar e bloquear páginas de phishing em tempo real. Você pode configurar seu SWG para impedir que usuários enviem credenciais para locais desconhecidos. Se você estiver usando SSO, esse portal de SSO provavelmente é o único local em que seus usuários devem inserir suas credenciais, portanto, você deve configurar uma política que impeça que as credenciais sejam inseridas em outro lugar”.

Um gerenciador de senhas também pode ser útil aqui. Isso não apenas impedirá que seus funcionários reutilizem senhas, mas eles também reconhecerão quando chegarem a uma página de phishing falsa e não preencherão automaticamente as credenciais como fariam em uma página real.

Também existem ferramentas para higienizar completamente os e-mails antes que eles cheguem às caixas de entrada dos usuários que deveriam ser usadas, diz Benny Czarny, fundador e CEO da empresa de segurança cibernética OPSWAT. “Use a tecnologia de multidigitalização para verificar e analisar todos os arquivos baixados na rede da organização”, aconselha. “Nenhum mecanismo antivírus único pode detectar 100% das ameaças o tempo todo. Ao usar vários mecanismos antivírus para verificar e-mails, as organizações podem aumentar suas chances de que uma nova ameaça seja detectada e mitigada rapidamente. Para arquivos desconhecidos, a verificação dinâmica de sandbox pode detectar comportamento malicioso . E uma solução de desarme e reconstrução de conteúdo, também conhecida como sanitização de dados, quebrará e reconstruirá completamente arquivos potencialmente perigosos, removendo objetos inseguros no processo enquanto preserva a usabilidade”.

Se você quer levar a sério a neutralização de e-mails de phishing, Jon DiMaggio, Estrategista-Chefe de Segurança da Analyst1, tem uma sugestão potencialmente impopular: Permita apenas e-mails de texto simples e restrinja os tipos de anexo para bloquear extensões essenciais não comerciais. “Raramente há necessidade de enviar um arquivo executável ou RAR por e-mail”, explica ele. “E o e-mail de texto simples remove a capacidade de um usuário clicar em um link malicioso ou de um script ser executado quando o e-mail é aberto e medeia muitas outras táticas usadas em ataques de phishing”.

8. Facilite a identificação de e-mails legítimos

Se você tiver políticas e ferramentas em vigor que facilitem o reconhecimento de mensagens de phishing pelos funcionários, você estará à frente do jogo. “Marque os e-mails não enviados do domínio da empresa como ‘Externos'”, diz Tony Anscombe, Evangelista Chefe de Segurança da ESET. “Este é um aviso visual para que o usuário fique mais atento e é uma vitória fácil para a equipe corporativa de TI”. Isso é particularmente útil quando os e-mails vêm de domínios de typosquatting semelhantes e podem parecer à primeira vista como mensagens internas.

Claro, é muito mais difícil para os funcionários farejar e-mails falsos se um endereço real de alguém que eles conhecem aparece no campo “De:”, que um hacker inteligente pode fazer por meio de falsificação de e-mail, diz King, da Sentrium. “Certifique-se de que seus registros de sistemas de nomes de domínio (DNS) estejam configurados corretamente para evitar falsificação”, ele recomenda.

Kfir Azoulay, Chefe de Resposta a Ameaças Cibernéticas no provedor de serviços de segurança gerenciados CYREBRO, sugere outras ferramentas relacionadas ao DNS. “Departamentos de TI corporativos devem implementar serviços de autenticação DNS, como autenticação, relatório e conformidade de mensagens baseadas em domínio (DMARC), DomainKeys Identified Mail (DKIM) e protocolos Sender Policy Framework (SPF) para determinar se um email enviado de um domínio específico é legítimo ou fraudulento. A implementação pode ser feita a qualquer momento, de forma simples e com baixo custo por domínio — sem custo e até algumas dezenas de dólares por mês para uma organização média”.

Outra solução para detectar e-mails ameaçadores é “integrar o sistema de correspondência da organização com um feed de inteligência para criar uma lista de bloqueios e impedir o recebimento de e-mails de uma fonte maliciosa”, diz Azoulay. “Uma mensagem de e-mail pode ser rastreada para ver os saltos entre os servidores. Quando o IP malicioso corresponde aos da lista de bloqueios, o e-mail deve ser considerado inválido”.

9. Tenha um plano para responder a um phishing bem-sucedido

Embora a TI possa reclamar com razão sobre funcionários sem noção serem vítimas de golpes de phishing, Sean D. Goodwin, Gerente da Equipe de Consultoria e Garantia de TI da Wolf & Company, P.C., enfatiza que a TI deve, em última análise, arcar com o ônus de proteger a empresa. “Os usuários finais não são especialistas em segurança, e você deve parar de esperar que eles sejam”, diz ele. “A equipe de segurança não deve ajudar a equipe de contabilidade a fechar os livros todos os meses. Você deve seguir os processos esperados para enviar despesas comerciais, como anotações/comentários corretos e enviá-los no prazo. O resto fica por conta da contabilidade. Da mesma forma, a TI deve esperar que os funcionários estejam familiarizados com as políticas e procedimentos – especificamente, como eles devem entrar em contato com a segurança. Tudo além disso é responsabilidade da equipe de segurança”.

E mesmo que você siga todos os conselhos deste artigo, é provável que seja violado eventualmente — e você precisa estar preparado para o que vem a seguir. “Infelizmente, sempre há alguns funcionários que cairão em e-mails de phishing, mesmo que as equipes de TI tenham implementado o melhor treinamento e prevenção que o dinheiro pode comprar”, diz Sally Vincent, Engenheira Sênior de Pesquisa de Ameaças da LogRhythm. “É imperativo que essas equipes tenham um plano para responder aos usuários que sofrem phishing. Responder a um phishing bem-sucedido é um exercício realista sobre a mesa que as equipes de segurança podem trabalhar”.