Share the post "Ataques de phishing: 3 estratégias para proteger o seu negócio"
Os ataques de phishing às empresas são cada vez mais frequentes. Mesmo as grandes multinacionais e gigantes dos media não têm escapado a este tipo de crime cibernético.
As previsões das empresas especializadas em segurança tecnológica apontam para o aumento deste tipo de ataques direcionados ao meio empresarial, incentivando os empresários a prestar cada vez mais atenção às falhas de segurança que possam acontecer dentro das suas organizações.
Phishing: o que é?
O phishing deve o seu nome à palavra inglesa de fishing, que quer dizer pescar. A expressão ajuda-nos a visualizar um pirata informático que anda na Internet a tentar “pescar” passwords de acesso ou outras informações sensíveis que lhe permitam entrar na rede interna de uma empresa ou dentro de um computador particular.
Com esse tipo de informação, o hacker passa a poder entrar em áreas de acesso restrito da rede ou mesmo a poder instalar software de controlo no computador que lhe permitiu o acesso.
Uma vez dentro do sistema, ele tem liberdade para fazer o que quiser. Desde pedir o pagamento de resgates para não divulgar informação confidencial, até destruir e deitar a baixo servidores inteiros. É difícil prever o que poderá acontecer depois da segurança ter sido quebrada. Mas como funciona o “isco” que o hacker usa para pescar?
Como acontecem os ataques de phishing?
Como o objetivo é obter dados confidenciais, os hackers fazem-se passar por entidades ou pessoas conhecidas e credíveis, enviando um e-mail, SMS ou MMS para alguém dentro da empresa. Estas mensagens pedem normalmente ao recetor que atualize ou valide uma informação da sua conta junto de empresas ou marcas que este já conhece.
Podem até colocar alguma pressão sobre essa pessoa afirmando que, se não validar ou atualizar a informação, será penalizada de alguma forma. As pressões mais frequentemente utilizadas são o dizer que a vítima vai perder alguma campanha ou promoção se nada fizer ou, se a mensagem for enviada via SMS, que essa pessoa vai passar a pagar uma quantia diária se não anular o seu vínculo de ligação à empresa através do link ou site indicados.
Estes iscos recorrem a fórmulas simples e eficazes, que direcionam o utilizador para um site de aparência legítima, onde lhe pode ser pedido para preencher um formulário ou ficha muito parecido com o original. Também podem convidar a pessoa a contactar por telefone a empresa em questão através de um determinado número. Ao ligar, a vítima é atendida por um gravador automático que lhe pede dados pessoais de confirmação de conta, um sistema muito semelhante a algumas soluções de homebanking.
Outra das técnicas de phishing muito comum e eficaz é a mensagem de e-mail ou SMS enviada por alguém que se faz passar por um colega de trabalho ou mesmo pelo próprio chefe, pedindo alguns dados pessoais para fazer o processamento de salários ou para aceder a algum departamento específico.
Em comum, todos estes tipos de mensagens têm o facto de parecerem reais e, uma vez aceites pela vítima, conseguem armazenar o máximo de informação possível que depois será gerida conforme os interesses do “pescador”.
Ataques de phishing: 3 estratégias para proteger a sua empresa
1. Formação para a prevenção
A prevenção é a forma mais eficaz de evitar e reconhecer uma mensagem de phishing. Investir na formação dos seus colaborares para os sensibilizar para a seriedade do assunto é um dos passos mais importantes para que a sua empresa fique praticamente imune a estas falhas de segurança.
O objetivo é que os colabores aprendam as boas práticas da segurança cibernética e as apliquem, não apenas no ambiente de trabalho e no computador que usam localmente, mas também no exterior da empresa. Não ter colaboradores vulneráveis é a melhor estratégia.
Identificar emails ilegítimos
Nunca deve seguir as instruções de um e-mail, mensagem ou link que pareça minimamente estranho. Mensagens com muitas letras em maiúsculas, texto em mais de 2 cores, muitas fotografias ou outros traços estranhos, devem ser verificadas pela equipa de Tecnologia de Informação (TI) ou alguém que possa avaliar o e-mail.
Se a mensagem não apresentar qualquer elemento estranho, mas estiver a pedir dados pessoais ou sensíveis, confirme sempre com quem lhe enviou a mensagem através de um contacto alternativo ao que lhe é oferecido no e-mail ou SMS. O objetivo é saber se é mesmo o remetente verdadeiro que está a falar consigo.
Não publicar em redes sociais
Não veicular informação sobre o trabalho nas redes sociais ou se o fizer, fazê-lo apenas em perfis ou grupos privados, ajuda a evitar as quebras de segurança.
Muitos hackers utilizam o que sabem das redes sociais sobre determinada pessoa, para tornar o e-mail de phishing ainda mais credível. Todos os colaboradores da sua empresa devem ter em atenção que mesmo as informações mais inofensivas podem ser utilizadas para este efeito.
2. Apostar em sistemas de segurança
Aposte num plano de segurança robusto e regularmente atualizado. Um bom antivírus e práticas de acesso controlado a diversas áreas da sua rede interna podem ser essenciais para evitar o acesso via phishing e para salvar o que pode ser salvo se essa entrada acontecer.
Estas soluções de software revelam-se essenciais para garantir que, quer a sua empresa quer os seus clientes, não vão perder informação importante se o ataque acontecer, não ficando assim sujeitos ao pagamento de avultadas somas de resgate para reaver e proteger os seus dados.
3. Tentar identificar a porta de entrada
Se mesmo com todos os cuidados a sua empresa sofrer um ataque de phishing, antes de desligar toda a rede para evitar maiores danos, procure a ajuda de um profissional de TI para tentar identificar o hacker. O desligar tudo poderá significar um sinal de alerta e fazê-lo desaparecer.
Tentar identificar a sua porta de entrada e o isco que foi utilizado poderá ajudar a processá-lo judicialmente, se o conseguir identificar, e será importante para corrigir qualquer vulnerabilidade que possa existir, humana ou não, no seu plano de segurança interna.
Se quiser testar a sua organização, existem empresas como a Phish.me que fazem testes enviando mensagens falsas aos seus colaboradores para verificar se conseguem pescar alguém na sua empresa. Pode ser uma bom teste para avaliar a sensibilidade da sua organização às questões da segurança.