Aprenda como educar os funcionários sobre o perigo do phishing

Se você já passou pela situação de receber algum tipo de e-mail malicioso, contendo mensagens ameaçadoras e/ou links suspeitos, é bom tomar cuidado, pois algum hacker está tentando coletar suas informações por meio da técnica de “phishing”.

Embora o primeiro caso judicialmente famoso tenha ocorrido em 2004, quando um adolescente da Califórnia desenvolveu um site falso para adquirir dados, o phishing é bem mais antigo do que isso. Tudo começou lá na década de 1990, quando criminosos roubavam credenciais de usuários da América Online (AOL), negociando-as por softwares piratas. 

Tanto o Google quanto o Facebook já caíram nessa armadilha, portanto, para não ser a próxima vítima, acompanhe a leitura e veja como se proteger!

 

O que é phishing?

Com origem no termo em inglês “fishing”, que remete à pescaria, o phishing assume exatamente essa função de “pescar” os dados dos usuários por meio de informações falsas. Enquanto os e-mails de SPAM funcionam para ganhar atenção, o phishing já conta com um propósito mais bem definido, pois os cibercriminosos que se valem desse estilo não querem apenas serem notados, mas conquistarem terreno.

Basicamente esse crime virtual utiliza-se de recursos como e-mail, telefone, sites, SMS e demais meios para entrar em contato com as vítimas, através de estratégias que tornam a comunicação atrativa e genuína. Com isso, os hackers podem se passar por instituições de credibilidade, de modo que as pessoas não desconfiem e entreguem “de mão beijada” alguns dados pessoais tais como cartão de crédito, documentos, senhas, CPF etc.

 

Quais são os tipos mais comuns de phishing?

Os mecanismos de engenharia social que os criminosos virtuais utilizam são dignos de Oscar, pois existem várias vertentes capazes de extrair informações, até mesmo nas redes sociais, onde eles se passam por contas oficiais e prestam um falso auxílio. Golpes intitulados como spear phishing, por exemplo, são focados em situações específicas, ou seja, buscam pessoas, grupos e um banco de dados segmentado.

Parecida com essa tática encontra-se também a estratégia de whaling (deriva de whale, baleia em inglês), que tem o propósito de caçar executivos ou personalidades de alto escalação, utilizando recursos de ameaças e intimidações judiciais. Quando se trata de scam, muito utilizado em e-mails e pop-ups, a missão é fazer você clicar em um link ou baixar um arquivo contaminado, a fim de roubar informações preciosas.

Outro artifício engenhoso é o pharming, que diz respeito ao envenenamento do DNS, isto é, os criminosos comprometem o sistema que traduz os IP’s em domínio, fazendo com que o acesso a sites confiáveis seja redirecionado para páginas alternativas. Algo que pode interligar o conceito de clone phishing também, porque é uma jogada em que os hackers clonam sites originais e colocam no ar formulários falsos afim de obter os dados de quem os acessa e preenche.

 

Quais são os perigos do phishing para empresas? 

Obviamente que o phishing traz diversos perigos para as organizações, muito por conta da exposição de dados sigilosos que podem ser utilizados para extorquir gerentes, alimentar a concorrência, prejudicar a imagem da marca etc. Ficar à mercê do roubo de identidade é algo muito sério e que pode representar um volume de dinheiro gigantesco, atingindo em cheio o orçamento da empresa.

Pensando em um e-commerce, por exemplo, o phishing pode gerar um verdadeiro caos e prejudicar as vendas, afinal, quem compraria em um site que não oferece a devida segurança quanto aos dados fornecidos, não é mesmo? Caso seja uma empresa de capital aberto, a chance de as ações da companhia despencarem é muito grande, pois os escândalos costumam impactar significativamente as bolsas de valores.

Os efeitos psicológicos também merecem ser colocados em pauta, já que os funcionários, por não terem o devido conhecimento sobre ataques cibernéticos, possam ficar constrangidos por conta de mensagens ameaçadoras. Sendo assim, esses tipos de crimes influenciam o clima organizacional e podem reforçar o aumento de transtornos mentais como ansiedade, depressão e estresse.

 

Como preparar os funcionários da sua empresa?

Analisando todos esses fatores colocados anteriormente, claro que você e sua equipe não podem ficar parados, esperando o problema acontecer. É preciso uma tomada de decisão eficaz para coibir qualquer tipo de phishing. A partir disso, trouxemos algumas dicas primordiais para minimizar as vulnerabilidades da empresa e tornar o ambiente mais seguro.

Desenvolva treinamentos periódicos 

A princípio, até mesmo na intenção de criar uma política de segurança da informação, o ideal é fazer vários treinamentos para ensinar os colaboradores sobre os pormenores que envolvem o phishing. Portanto, monte palestras, coloque a equipe de TI à disposição de todos, desenvolva um manual de boas práticas, auxiliando as pessoas a compreenderem como os hackers agem de fato. 

Faça auditorias para analisar riscos

Sempre que possível, fiscalize o ambiente de trabalho, a fim de evitar que as pessoas conectem dispositivos desconhecidos na rede, exponham senhas ou descartem documentos de forma errônea. Nos tempos atuais, uma simples selfie no posto de trabalho por exemplo, pode representar um grande perigo. Sendo assim, o ato de reparar se os funcionários compartilham dados de crachá, cargos ou sistemas é de suma importância.

Crie simulações de phishing

Como muita gente só acaba aprendendo na prática, nada impede que você desenvolva algumas simulações de phishing para treinar os funcionários de todos os departamentos e acompanhe o desempenho da sua equipe de TI. Para tanto, escolha o nível de complexidade da simulação e cuide para não parecer uma pegadinha, de modo a conseguir o engajamento esperado e ter boas métricas de análise. Já existem soluções sob demanda no mercado que ajudam a realizar tais testes.

Reforce os comportamentos positivos

Uma forma de deixar os colaboradores atentos à segurança das informações da sua empresa pode ser o reforço positivo por meio de bonificações, criando assim uma rotina de ações seguras e fazendo com que todos entendam a necessidade de manter os dados sigilosos livres de olhares curiosos. Levando isso conta, é possível distribuir pequenos brindes e criar uma cultura de feedback humanizado, parabenizando os bons comportamentos.

Tenha sistemas de segurança robustos

Quando um bandido invade a sua casa, logicamente que você pensará em formas para que isso não ocorra novamente, instalando câmeras, aumentando o tamanho do muro, trocando fechaduras etc. Da mesma forma, a empresa precisa reforçar suas defesas para se prevenir contra ataques cibernéticos, então é indispensável ter um serviço de gestão de firewall, analisar a infraestrutura de rede e buscar soluções gerenciais.

Por fim, perceba que o phishing não precisa ser encarado como um bicho de sete cabeças, desde que a equipe de TI haja em conjunto e a empresa tenha as ferramentas necessárias para identificar os pontos de melhoria e coibir qualquer tipo de ofensiva. Ao pensarmos em segurança, não podemos esquecer de uma boa solução de antivírus, portanto, aproveite que está aqui e solicite um orçamento das soluções da Kaspersky!

Compartilhe este artigo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Share on telegram

Confira os próximos assuntos

Aumento explosivo de infecções por Ransomware

Ransomware já é uma grande ameaça para os dados corporativos, e a demanda da diversidade de ataques não para de crescer. Entenda como ele ataca, como se proteger e quais ferramentas usar para ajudar.