Introdução: conscientização sobre phishing no local de trabalho
Este artigo esclarece o que Phishing é e como pode ser evitado com as ferramentas e treinamento adequados. O texto foi transcrito de uma entrevista entre John Shedd e David McHale da Hailbytes.
O que é phishing?
Phishing é uma forma de engenharia social, geralmente por e-mail, SMS ou telefone, em que os criminosos tentam obter algum tipo de INFORMAÇÕES que eles podem usar para acessar coisas que não deveriam ser capazes de acessar.
Para quem não sabia, existem alguns tipos diferentes de ataques de phishing.
Qual é a diferença entre Phishing geral e Spearphishing?
O phishing geral geralmente é um envio em massa de e-mails com o mesmo formato para tentar fazer com que alguém clique nele sem muito esforço.
O phishing geral é realmente um jogo de números, enquanto os criminosos de spearphishing pesquisam um alvo.
Com o spearphishing, há um pouco mais de preparação envolvida e a taxa de sucesso tende a ser muito maior.
Como resultado, as pessoas que usam o spearphishing geralmente buscam alvos mais valiosos. Alguns exemplos incluem contadores ou CFOs que têm a capacidade de realmente dar-lhes algo de valor.
Conclusão: O phishing geral é bastante autoexplicativo com o termo geral e o spearphishing é mais específico com o alvo individual.
Como identificar um ataque de phishing?
Normalmente, o que você verá para phishing geral é um nome de domínio que não corresponde ou um nome de remetente com o qual você não está familiarizado. Outra coisa a ter em conta é a má ortografia ou gramática.
Você pode ver anexos que não fazem muito sentido ou anexos que são tipos de arquivo que você normalmente não acessaria.
Eles podem estar pedindo para você fazer algo que está fora do processo normal da sua empresa.
Quais são algumas boas práticas para evitar um ataque de phishing?
É importante ter bons políticas de segurança no lugar.
Você deve ter uma compreensão dos processos que são atividades comuns de alto risco, como envio de folha de pagamento ou envio de transferências eletrônicas. Esses são alguns dos vetores mais comuns que vemos para os criminosos, basicamente tirando vantagem dessa confiança e, em seguida, prejudicando uma empresa.
Você deve entender que, se algo for suspeito, eles devem denunciá-lo e ter algum tipo de processo em vigor para facilitar a solicitação de assistência pelos usuários.
Você deve saber as coisas básicas para verificar em cada e-mail, porque muitos usuários não sabem o que procurar ou simplesmente não sabem.
Como o Hailbytes ajuda na conscientização e treinamento de phishing?
Oferecemos simulações de phishing nas quais enviaremos e-mails de phishing às empresas nos quais os usuários clicam e podemos entender como é sua postura de segurança. Por fim, somos capazes de descobrir quais usuários são vulneráveis em sua organização.
Nossas ferramentas permitem que eles encaminhem e-mails e recebam um relatório para entender os fatores de risco nesse e-mail e, em seguida, a equipe de segurança internamente também obterá esse relatório.
Também temos treinamentos básicos e avançados de segurança que mostrarão a esses usuários muitas táticas comuns que são usadas e muitas coisas comuns que eles precisam observar quando suspeitam que um e-mail pode conter um ataque de phishing.
Pontos de Conclusão:
- Phishing é uma forma de engenharia social.
- Phishing geral é uma forma de ataque generalizada.
- Spearphishing envolve pesquisa sobre o alvo do phishing e é mais bem-sucedido para o golpista.
- Tendo uma política de segurança implementado é o primeiro passo para mitigar cíber segurança ameaças.
- O phishing pode ser evitado por meio de treinamento e de simuladores de phishing.
