Conscientização sobre phishing: como isso acontece e como evitá-lo
Por que os criminosos usam um ataque de phishing?
Qual é a maior vulnerabilidade de segurança em uma organização?
As pessoas!
Sempre que quiserem infectar um computador ou obter acesso a informações importantes INFORMAÇÕES como números de contas, senhas ou números PIN, tudo o que eles precisam fazer é perguntar.
Phishing ataques são comuns porque são:
- Fácil de fazer – Uma criança de 6 anos pode realizar um ataque de phishing.
- Escalável – Eles variam de ataques de spear phishing que atingem uma pessoa a ataques a uma organização inteira.
- Muito eficaz - 74% de organizações sofreram um ataque de phishing bem-sucedido.
- Credenciais da conta do Gmail – $80
- Pin cartão de crédito - $20
- Credenciais bancárias online para contas com pelo menos $ 100 neles - $40
- Contas bancárias com pelo menos $ 2,000 - $120
Você provavelmente está pensando: “Uau, minhas contas estão indo para o fundo do dólar!”
E isso é verdade.
Existem outros tipos de contas que têm um preço muito mais alto porque são mais fáceis de manter as transferências de dinheiro anônimas.
As contas que possuem criptografia são o jackpot para os golpistas de phishing.
As taxas atuais para contas criptográficas são:
- Coinbase - $610
- Blockchain. com – $310
- Binance - $410
Existem também outras razões não financeiras para ataques de phishing.
Os ataques de phishing podem ser usados por estados-nação para invadir outros países e extrair seus dados.
Os ataques podem ser para vinganças pessoais ou mesmo para destruir a reputação de corporações ou inimigos políticos.
As razões para ataques de phishing são infinitas…
Como começa um ataque de phishing?
Um ataque de phishing geralmente começa com o criminoso saindo e enviando uma mensagem para você.
Eles podem dar-lhe um telefonema, um e-mail, uma mensagem instantânea ou um SMS.
Eles podem alegar ser alguém que trabalha para um banco, outra empresa com a qual você faz negócios, uma agência governamental ou até mesmo fingir ser alguém em sua própria organização.
Um e-mail de phishing pode solicitar que você clique em um link ou baixe e execute um arquivo.
Você pode pensar que é uma mensagem legítima, clique no link dentro da mensagem e faça login no que parece ser o site da organização em que você confia.
Neste ponto, o golpe de phishing está completo.
Você entregou suas informações privadas ao invasor.
Como prevenir um ataque de phishing
A principal estratégia para evitar ataques de phishing é treinar os funcionários e aumentar a conscientização organizacional.
Muitos ataques de phishing parecem e-mails legítimos e podem passar por um filtro de spam ou filtros de segurança semelhantes.
À primeira vista, a mensagem ou o site podem parecer reais usando um layout de logotipo conhecido, etc.
Felizmente, detectar ataques de phishing não é tão difícil.
A primeira coisa a procurar é o endereço do remetente.
Se o endereço do remetente for uma variação de um domínio de site com o qual você esteja acostumado, prossiga com cuidado e não clique em nada no corpo do e-mail.
Você também pode consultar o endereço do site para o qual foi redirecionado, se houver algum link.
Para sua segurança, você deve digitar o endereço da organização que deseja visitar no navegador ou usar os favoritos do navegador.
Fique atento aos links que, ao passar o mouse, mostram um domínio que não é o mesmo da empresa que enviou o e-mail.
Leia o conteúdo da mensagem com cuidado e desconfie de todas as mensagens que solicitam que você envie seus dados privados ou verifique informações, preencha formulários ou baixe e execute arquivos.
Além disso, não se deixe enganar pelo conteúdo da mensagem.
Os invasores geralmente tentam assustá-lo para fazer você clicar em um link ou recompensá-lo para obter seus dados pessoais.
Durante uma pandemia ou emergência nacional, os golpistas de phishing se aproveitam do medo das pessoas e usam o conteúdo da linha de assunto ou do corpo da mensagem para assustá-lo e fazê-lo agir e clicar em um link.
Além disso, verifique se há erros de ortografia ou gramática na mensagem de e-mail ou no site.
Outra coisa a ter em mente é que as empresas mais confiáveis geralmente não pedem que você envie dados confidenciais via web ou correio.
É por isso que você nunca deve clicar em links suspeitos ou fornecer qualquer tipo de dados confidenciais.
O que devo fazer se receber um e-mail de phishing?
Se receber uma mensagem que pareça um ataque de phishing, você tem três opções.
- Delete isso.
- Verifique o conteúdo da mensagem entrando em contato com a organização por meio de seu canal tradicional de comunicação.
- Você pode encaminhar a mensagem ao seu departamento de segurança de TI para uma análise mais aprofundada.
Sua empresa já deve estar rastreando e filtrando a maioria dos e-mails suspeitos, mas qualquer um pode se tornar uma vítima.
Infelizmente, os golpes de phishing são uma ameaça crescente na Internet e os bandidos estão sempre desenvolvendo novas táticas para chegar à sua caixa de entrada.
Lembre-se de que, no final, você é a última e mais importante camada de defesa contra tentativas de phishing.
Como parar um ataque de phishing antes que aconteça
Como os ataques de phishing dependem do erro humano para serem eficazes, a melhor opção é treinar as pessoas em sua empresa sobre como evitar morder a isca.
Isso não significa que você precise fazer uma grande reunião ou seminário sobre como evitar um ataque de phishing.
Existem maneiras melhores de encontrar brechas em sua segurança e melhorar sua resposta humana ao phishing.
2 etapas que você pode seguir para evitar um golpe de phishing
A simulador de phishing é um software que permite simular um ataque de phishing em todos os membros da sua organização.
Os simuladores de phishing geralmente vêm com modelos para ajudar a disfarçar o e-mail como um fornecedor confiável ou imitar formatos de e-mail internos.
Os simuladores de phishing não apenas criam o e-mail, mas também ajudam a configurar o site falso no qual os destinatários acabarão inserindo suas credenciais se não passarem no teste.
Em vez de repreendê-los por cair em uma armadilha, a melhor maneira de lidar com a situação é fornecer informações sobre como avaliar e-mails de phishing no futuro.
Se alguém falhar em um teste de phishing, é melhor apenas enviar uma lista de dicas sobre como identificar e-mails de phishing.
Você pode até usar este artigo como referência para seus funcionários.
Outro grande benefício de usar um bom simulador de phishing é que você pode medir a ameaça humana em sua organização, o que geralmente é difícil de prever.
Pode levar até um ano e meio para treinar os funcionários a um nível seguro de mitigação.
É importante escolher a infraestrutura de simulação de phishing certa para suas necessidades.
Se você estiver fazendo simulações de phishing em uma empresa, sua tarefa será mais fácil
Se você for um MSP ou MSSP, pode ser necessário executar testes de phishing em várias empresas e locais.
Optar por uma solução baseada em nuvem seria a melhor opção para usuários executando várias campanhas.
Na Hailbytes, configuramos Go Phish, um dos frameworks de phishing de código aberto mais populares como um instância fácil de usar na AWS.
Muitos simuladores de phishing vêm no modelo Saas tradicional e têm contratos rígidos associados a eles, mas o GoPhish on AWS é um serviço baseado em nuvem em que você paga a uma taxa medida em vez de um contrato de 1 ou 2 anos.
Etapa 2. Treinamento de conscientização de segurança
Um dos principais benefícios de oferecer aos funcionários conscientização de segurança o treinamento está protegendo-os contra roubo de identidade, roubo de banco e credenciais comerciais roubadas.
O treinamento de conscientização de segurança é essencial para melhorar a capacidade dos funcionários de detectar tentativas de phishing.
Os cursos podem ajudar a treinar a equipe para detectar tentativas de phishing, mas apenas alguns se concentram em pequenas empresas.
Pode ser tentador para você, como proprietário de uma pequena empresa, cortar os custos de um curso enviando alguns vídeos do Youtube sobre conscientização sobre segurança…
mas pessoal raramente lembra esse tipo de treinamento por mais de alguns dias.
O Hailbytes tem um curso que combina vídeos rápidos e questionários para que você possa acompanhar o progresso de seus funcionários, provar que as medidas de segurança estão em vigor e reduzir drasticamente suas chances de sofrer um golpe de phishing.
Você pode conferir nosso curso na Udemy aqui ou clicar no curso abaixo:
Se você estiver interessado em executar uma simulação gratuita de phishing para treinar seus funcionários, acesse a AWS e confira o GoPhish!
É fácil começar e você sempre pode entrar em contato conosco se precisar de ajuda para configurar.
