Passo 4. Esteja atento aos sinais de burla

As ações e comportamento dos colaboradores são um fator determinante para a segurança da informação das organizações. A pandemia causou uma intensificação de ataques de ransomware e phishing, além de uma série de scams que utilizavam como tema a COVID-19. Segundo um estudo da Gallagher de 2020, cerca de 60% das falhas de segurança são causadas por erro humano.

Muitos destes ataques, como o  incidente envolvendo comprometimento das ferramentas administrativas do Twitter de Julho de 2020, iniciaram-se a partir do social engineering, e poderiam ter sido evitados com uma maior educação dos colaboradores, ou a implementação da forte cultura de segurança da informação.

O que é social engineering?

Social engineering é a manipulação psicológica com o objetivo de obter informações confidenciais ou realizar determinadas ações, geralmente utilizada por cibercriminosos para obter acesso ou iniciar um ataque.

As vulnerabilidades exploradas neste caso são as distorções de julgamento das vítimas, que acabam por tomar ações precipitadas, sem verificar a identidade de quem solicita ou da autenticidade do pedido.

Num ataque de vishing (phishing por telefone) por exemplo, o criminoso pode apresentar como algum colaborador do suporte técnico e pedir, com senso de urgência, que se insira algum comando no seu PC. Neste caso o a pressão faz com que a vítima a tome uma ação precipitada, sem verificar as credenciais do suposto colaborador, estando vulnerável ao roubo de dados ou invasão do sistema informático.

Quais são os principais tipos de social engineering?

  • Vishing – também conhecido como voice phishing (por telefone), é utilizado para obter informações como emails de colaboradores e credenciais, ou como forma de reconhecimento da superfície de ataque da organização;
  • Phishing – técnica para obtenção de informações credenciais e de cartão de crédito, geralmente enviada por email, (em nome de um banco ou outro serviço). Solicita que seja feito o login numa página réplica falsa, que rouba os dados inseridos nela.
  • Smishing – é quando o mesmo golpe é realizado via SMS;
  • Impersonation – é quando o criminoso finge ser outra pessoa para ter acesso à determinado sistema informático, prédio ou informação.

No caso do spear phishing, os emails podem ser altamente personalizados e enviados para poucas pessoas selecionadas, enquanto no phishing em massa, são enviados sem personalização para o maior número de pessoas possível.

phishing

Como detetar ataques de Phishing?

De acordo com a Sophos, 41% das organizações experimentam ataques de phishing diariamente, e mais de três quartos (77%) experimentam um ataque de phishing pelo menos uma vez por mês. Por isso é muito importante saber detetar estes ataques.

Esteja atento a sinais como:

  • Erros ortográficos e má gramática;
  • Senso de urgência, por exemplo faturas vencidas e/ou interrupção de serviços;
  • Promessas de recompensa em dinheiro, por exemplo;
  • Consequências graves caso não faça o que pedem;
  • Palavras fortes e enervantes (como “A sua conta foi violada!”);
  • Saudações genéricas (Ex.: “Caro cliente”); e
  • Solicitação de dados e informações pessoais e organizacionais sensíveis.

Além disso, é possível que os criminosos utilizem alguma informação pessoal obtida através das redes sociais, para personalizar o email e parecer convincente.

O spear phishing, tendo uma mensagem mais personalizada, tende a ser mais difícil de se identificar. Estes, geralmente são direcionados para executivos C-level (CEO, CTO CFO), uma vez que são estes que detêm informação crítica.

A melhor forma de prevenção contra o phishing é através de simulações e formações feitas pelos administradores de sistema, de forma que os colaboradores aprendam a identificar possíveis ataques. Além disso a proteção dentro das plataformas de email e endpoints é recomendada.

Esteja atento a possíveis ataques de pretexting

Os ataques de pretexting (pretexto) ocorrem quando os criminosos criam algum cenário fictício ou “desculpa” para aumentar a probabilidade da vítima divulgar informações confidenciais, sendo parte importante dos ataques de vishing.

Por exemplo, a vítima recebe um telefonema de alguém que diz ser um gestor ou alguma autoridade (impersonation), e sob a desculpa de que está a prepar uma surpresa especial para um colaborador,  pede acesso a algum sistema ou informações que as quais supostamente teriam o direito de saber. 

Para evitar este tipo de ataque, o primeiro passo é assumir que ele sempre é uma possibilidade e além disso é sempre importante confirmar a identidade de quem lhe contacta, antes de passar a informação solicitada.

Não morda o isco!

A técnica conhecida como baiting consiste em explorar a curiosidade humana, a partir de dispositivos físicos como pen-drives, CDs e DVDs, para infectar o sistema do colaborador.

pendrive virus

Imagine que um colaborador encontrou um pen-drive na sua caixa de correio ou no chão do parque perto do seu carro. Com a curiosidade de saber do que se tratava, acabou por conectá-lo ao PC da sua empresa e abre algum ficheiro desconhecido, que parecia uma música, que estava nele.

Neste caso, o colaborador foi vítima num esquema de baiting, e comprometeu a segurança da sua organização, que poderia ser afetada por exemplo com um ataque de ransomware.

Sendo assim, é necessário estar atento para não se deixar levar pela curiosidade. Caso note algum evento estranho, não deixe de informar odepartamento responsável da sua organização.

Métodos de prevenção

Como dito anteriormente, é necessário cultivar a cultura de segurança da informação dentro das organizações, para que os colaboradores tenham a noção de que podem participar ativamente no processo.

As medidas de prevenção como por exemplo software de segurança não são suficientes se os colaboradores não forem sensibilizados para as preocupações com social engineering. Isto porque muitas vezes a vulnerabilidade está no mundo físico e os ataques são iniciados das mais variadas formas, como um simples telefonema.

Portanto, as formas mais eficazes de combate ao social engineering são simulações, educação (formações) e criação de protocolos de segurança para informações sensíveis, pois assim os colaboradores estarão atentos e informados, mais preparados para agir caso notem algo suspeito.

DESCARREGUE AQUI O SEU GUIA COMPLETO EM PDF

Livre-se de preocupações!

Abrace a transformação digital com a Eurotux.

Alterar a Língua