WhatsApp

Os ataques de phishing estão evoluindo: o que você precisa saber para manter sua empresa segura

Home  Os ataques de phishing estão evoluindo: o que você precisa saber para manter sua empresa segura
By Alianças da equipe azul 1 comments December 19, 2024

Os ataques de phishing estão evoluindo: o que você precisa saber para manter sua empresa segura

Resumo:

  • Phishing é uma forma de engenharia social em que o invasor se faz passar por uma parte confiável com o objetivo de obter acesso a informações confidenciais, como credenciais de login, informações pessoais ou dados de cartão de pagamento.
  • Uma empresa com 5.000 funcionários receberá em média 14.400 e-mails de phishing por ano – sem incluir aqueles capturados por filtros de spam.
  • As táticas de phishing estão se tornando mais avançadas ao longo do tempo, e os ataques de phishing são mais comuns durante as festas de fim de ano, quando os consumidores frequentemente enfrentam maiores níveis de estresse.
  • Os golpes de phishing por SMS estão aumentando, por isso é vital ter cuidado se você receber mensagens de texto de um remetente que não reconhece.
  • O treinamento em segurança cibernética para funcionários e a verificação de visibilidade são duas formas essenciais de prevenir e combater golpes de phishing. A IMID Tecnologia pode fornecer esses dois serviços.

Introdução

Os golpes de phishing tendem a atingir o pico durante e próximo à temporada de férias de inverno, pegando indivíduos e empresas despreparados. Para ajudar a garantir que você e sua equipe tenham as informações necessárias para identificar e evitar esses golpes, conversamos com um de nossos especialistas em segurança cibernética da IMID Tecnologia para saber mais sobre essa ameaça comum à segurança cibernética.

Se você está enfrentando atualmente, ou passou recentemente, por um incidente de segurança cibernética, entre em contato com nossa equipe para obter assistência imediata e considere revisar nosso artigo educacional: Hackeado? Aqui está o que você deve saber (e o que fazer a seguir ) . Nossa equipe pode ajudá-lo a se defender do ataque, identificar a causa raiz do problema e criar um plano abrangente e prático para ajudar a mitigar ou até mesmo evitar maiores danos.

O que é Phishing?

Phishing é um tipo de engenharia social normalmente usada para roubar dados do usuário, como credenciais de login, informações de identificação pessoal (PII) ou informações de cartão de pagamento.

Este tipo de ataque cibernético envolve um agente de ameaça disfarçado de parte confiável (como seu banco) para induzi-lo a abrir um e-mail, mensagem de texto, mensagem instantânea ou outra mensagem eletrônica e, inadvertidamente, entregar informações confidenciais, como dados de identificação pessoal informações (como seu nome completo, data de nascimento ou número de seguro social) ou informações de pagamento (como seu número de cartão de crédito).

Os ataques de phishing representam uma séria ameaça tanto a nível pessoal como empresarial. Embora a maioria dos filtros de spam de e-mail sejam capazes de impedir as tentativas mais flagrantes de phishing, mesmo os melhores filtros e firewalls não conseguem capturar tudo.

Os golpes de phishing continuam a evoluir, e o grande número de e-mails de phishing por si só é impressionante. Uma pesquisa sobre o volume de e-mails, spam e anexos e URLs maliciosos direcionados a empresas descobriu que uma empresa com 5.000 funcionários ainda terá uma média de 14.400 e-mails de phishing chegando nas caixas de entrada dos funcionários a cada ano, e esses são apenas os e-mails que foram inteligentes o suficiente para passar pelo filtro de spam. 

Com tantos e-mails escapando de nossas defesas, o treinamento dos funcionários sobre como detectar e denunciar possíveis golpes de phishing é fundamental. No entanto, muitos atores de ameaças estão mudando de tática e abandonando o e-mail e adotando outras formas de comunicação eletrônica.

As táticas de phishing evoluíram

Quando muitos de nós pensamos em e-mails de phishing, provavelmente ainda imaginamos algum golpista fingindo ser um príncipe fabulosamente rico de alguma terra distante, prometendo riquezas em troca de ajudá-los a transferir dinheiro secretamente para fora de seu país de origem (um estratagema comum conhecido como adiantamento – fraude de taxas).

O golpe de taxa avançada é um estratagema clássico que envolve o agente da ameaça pedindo que você o ajude, transferindo dinheiro para o alvo (supostamente para “guarda” ou para fugir das autoridades), ao mesmo tempo que pede que você pague uma taxa para ajudar a movimentar o dinheiro com a promessa de que ambos lhe enviarão dinheiro para cobrir o pagamento adiantado e o recompensarão generosamente por sua cooperação.

Embora esse estratagema elaborado tenha se tornado um clichê mesmo fora dos círculos de segurança cibernética, infelizmente, muitos indivíduos e empresas ainda caem nesse e em golpes semelhantes de taxas antecipadas. Um artigo recente da CNBC descobriu que esses golpes de taxas avançadas ainda rendem aos cibercriminosos bem mais de US$ 700.000 por ano.

Por que os golpes de phishing atingem o pico na época das festas de fim de ano?

As campanhas de phishing normalmente crescem em popularidade durante a temporada de férias, na tentativa de atacar compradores festivos (e muitas vezes esgotados) usando golpes de phishing cada vez mais sofisticados.

No entanto, não são apenas os compradores de fim de ano que caem nessas campanhas; muitas empresas e outras organizações de todos os tamanhos continuam a ser vítimas deste tipo de ataques .

Um exemplo comum de um golpe de phishing popular direcionado a empresas envolve o envio ao alvo de um e-mail com um domínio que parece ter um link para o site da empresa e contém informações inócuas (como um menu de refeição festiva com uma extensão de arquivo .doc, emparelhado com um e-mail solicitando ao funcionário que indique sua preferência alimentar e restrições alimentares para a festa da empresa).

No entanto, embora o e-mail pareça legítimo à primeira vista, uma bandeira vermelha, como um domínio com erros ortográficos (por exemplo, imit.com.br’ em vez de ‘tecnologia.imidgroup.com.br’, observe o ‘t’ e ‘d’ trocados) indica que este e-mail provavelmente é malicioso e deve ser sinalizado como spam e relatado à equipe de TI ou de segurança cibernética da sua empresa.

Os golpes de “Smishing” (phishing por SMS) estão aumentando

Embora esses tipos de golpes tendam a atingir o pico na época das festas de fim de ano, eles ainda são comuns durante todo o ano. O texto de entrega falso é uma nova forma desse golpe antigo que vem circulando e está rapidamente se tornando um dos formatos mais comuns para golpes de smishing .

Uma teoria por trás do aumento deste estilo específico de golpe de phishing é o aumento dos bloqueios em todo o mundo, provocando um aumento nas compras online, especialmente durante o período de férias. Antes de clicar em qualquer link de uma mensagem de texto suspeita, é fundamental verificar se a mensagem de texto é legítima (por exemplo, ligando para o correio local ou para o depósito de entrega para verificar se realmente há um pacote esperando por você).

Como reconhecer (e evitar ser vítima) de um ataque Smishing

Se você receber uma mensagem de texto suspeita que pode fazer parte de um golpe de smishing, existem algumas etapas que você pode seguir para ajudar a evitar ser vítima:

  1. Nunca responda a uma mensagem de texto potencialmente suspeita. Se uma resposta parecer necessária, responda por meio de um canal oficial verificado (como ligar diretamente para sua empresa de entrega ou correio local).
  2. Nunca clique em links ou números de telefone enviados por um usuário que você não reconhece.
  3. Nunca compartilhe quaisquer informações de pagamento ou informações de identificação pessoal, como número de seguro social, data de nascimento ou nome completo.
  4. Relate quaisquer mensagens que pareçam suspeitas à autoridade competente.

No Brasil, as autoridades competentes para receber relatórios de phishing são:

    • Polícia Federal: A Polícia Federal é a responsável pela investigação de crimes cibernéticos, incluindo phishing. Os relatórios podem ser apresentados à Polícia Federal por meio do site da PF ou do Disque 180.
    • Autoridade Nacional de Proteção de Dados (ANPD): A ANPD é a responsável pela proteção de dados pessoais no Brasil. Os relatórios de phishing podem ser apresentados à ANPD por meio do site da ANPD.
    • Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br): O CERT.br é um centro de resposta a incidentes cibernéticos mantido pelo Comitê Gestor da Internet no Brasil (CGI.br). Os relatórios de phishing podem ser apresentados ao CERT.br por meio do site do CERT.br.

Ao apresentar um relatório de phishing, é importante fornecer o máximo de informações possível, incluindo:

  • O conteúdo da mensagem suspeita
  • O endereço de e-mail ou site de origem da mensagem
  • Qualquer outra informação que possa ajudar a identificar o ataque

O relatório de phishing pode ajudar as autoridades competentes a investigar o ataque e tomar medidas para proteger os usuários.

  • No Reino Unido, os relatórios podem ser apresentados ao Centro Nacional de Segurança Cibernética aqui .
  • Nos Estados Unidos, os relatórios podem ser apresentados à FCC aqui e à FTC aqui.

Um exemplo comum de fraude que solicita informações de pagamento é um golpista se passando por seu banco e solicitando que você atualize as informações de sua conta (geralmente sob ameaça de bloqueio de suas contas ou algum outro resultado indesejável).

Nesse caso, você deve entrar em contato com seu banco imediatamente por meio de um canal oficial (a maioria dos bancos imprime um número gratuito no verso de seus cartões de crédito ou débito ou em algum lugar de seu extrato bancário) e verificar de forma independente se suas informações precisam ser atualizadas.

Isso não apenas ajuda você a evitar ser vítima de um possível golpe de phishing, mas também alerta seu banco para que eles possam alertar outros clientes sobre o golpe, para que também possam evitar ser vítimas.

Conscientização é crítica

A educação e a conscientização são a base de qualquer estratégia sólida de segurança cibernética. Ao educar você e outras pessoas sobre golpes comuns e sinais de alerta a serem observados, você pode ajudar a reduzir a chance de alguém ser vítima. Os golpes individuais costumam durar pouco, então você precisa agir rapidamente; A Verizon relata que 50% dos golpes têm como alvo e-mails abertos e cliques em links de phishing dentro de uma hora após receber um e-mail suspeito .

Investir no treinamento em segurança cibernética dos funcionários é vital. Quando se trata de golpes, seus funcionários são uma de suas primeiras linhas de defesa, e é por isso que todos os funcionários, desde o estagiário de verão até o CEO, devem passar por treinamento regular em segurança cibernética. Para ajudar a preparar todos para o sucesso, você também deve incluir treinamento em segurança cibernética como parte do processo de integração da sua empresa.

A verificação de vulnerabilidades oferece visibilidade total da sua infraestrutura

Você não pode se defender contra ameaças à segurança cibernética se não souber que elas existem. A verificação de vulnerabilidades ajuda a garantir que nenhuma ameaça ultrapasse suas defesas, fornecendo informações detalhadas sobre inteligência de ameaças, integridade do dispositivo, mapeamento de ameaças e tíquetes de suporte.

Ser capaz de visualizar todo o tráfego em sua rede o tempo todo é fundamental para detectar atividades suspeitas, para que você possa responder de forma rápida e eficaz para proteger seus dados e sua organização caso um agente de ameaça passe furtivamente por suas defesas.

A engenharia social assume muitas formas

Muitos destes ataques dependem de engenharia social . A engenharia social envolve a manipulação de vítimas potenciais para que revelem informações de identificação pessoal e pode ser usada para acessar contas pessoais ou organizacionais. Os ataques de engenharia social normalmente dependem de uma comunicação consistente entre o invasor e o alvo e frequentemente assumem a forma de mensagens de texto, mensagens instantâneas ou e-mails.

À medida que a COVID-19 continua a forçar os trabalhadores a trocarem as suas secretárias de trabalho por mesas de cozinha, quartos de hóspedes e escritórios domésticos, ataques desta natureza estão a tornar-se mais frequentes e mais eficazes. Isso, combinado com eventos mais mundanos, mas ainda frustrantes, como uma entrega supostamente perdida (que você pode reagendar convenientemente clicando neste link totalmente legítimo), criou um ambiente ideal para o florescimento de ameaças como golpes de phishing.

Preocupado com golpes de phishing? A IMID Tecnologia está aqui para ajudar

Nem todo mundo é especialista em segurança cibernética, e tudo bem. A IMID Tecnologia está repleta de especialistas, como o especialista de segurança cibernética que nos ajudou a escrever este artigo educacional.

Se você precisa de ajuda para elaborar uma estratégia de segurança cibernética , está procurando alguém para monitorar sua rede 24 horas por dia, 7 dias por semana , 365 dias por ano em busca de atividades suspeitas ou deseja reforçar sua equipe interna de TI ou de segurança cibernética , nossa equipe está aqui para ajudar. Para obter mais informações ou para começar a melhorar a postura de segurança cibernética da sua organização, entre em contato com nossa equipe hoje mesmo.

 

Tag:

Leave a Reply

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Vamos trabalhar juntos!
Basta nos chamar em nossos Canais.

facebook Instagram Linkedin YouTube

Fale agora com nossa equipe

Nós Retornamos
Facebook Facebook Facebook Facebook Instagram

copyright 2014 by alliances.com.br

Inscreva-se em nossa news

[mc4wp_form id=451]

Marketing

Vendas

Educação

Tecnologia

Discover more from Alliances

Subscribe now to keep reading and get access to the full archive.

Continue reading