- en
- pt
As ações e comportamento dos colaboradores são um fator determinante para a segurança da informação das organizações. A pandemia causou uma intensificação de ataques de ransomware e phishing, além de uma série de scams que utilizavam como tema a COVID-19. Segundo um estudo da Gallagher de 2020, cerca de 60% das falhas de segurança são causadas por erro humano.
Muitos destes ataques, como o incidente envolvendo comprometimento das ferramentas administrativas do Twitter de Julho de 2020, iniciaram-se a partir do social engineering, e poderiam ter sido evitados com uma maior educação dos colaboradores, ou a implementação da forte cultura de segurança da informação.
Social engineering é a manipulação psicológica com o objetivo de obter informações confidenciais ou realizar determinadas ações, geralmente utilizada por cibercriminosos para obter acesso ou iniciar um ataque.
As vulnerabilidades exploradas neste caso são as distorções de julgamento das vítimas, que acabam por tomar ações precipitadas, sem verificar a identidade de quem solicita ou da autenticidade do pedido.
Num ataque de vishing (phishing por telefone) por exemplo, o criminoso pode apresentar como algum colaborador do suporte técnico e pedir, com senso de urgência, que se insira algum comando no seu PC. Neste caso o a pressão faz com que a vítima a tome uma ação precipitada, sem verificar as credenciais do suposto colaborador, estando vulnerável ao roubo de dados ou invasão do sistema informático.
No caso do spear phishing, os emails podem ser altamente personalizados e enviados para poucas pessoas selecionadas, enquanto no phishing em massa, são enviados sem personalização para o maior número de pessoas possível.
De acordo com a Sophos, 41% das organizações experimentam ataques de phishing diariamente, e mais de três quartos (77%) experimentam um ataque de phishing pelo menos uma vez por mês. Por isso é muito importante saber detetar estes ataques.
Esteja atento a sinais como:
Além disso, é possível que os criminosos utilizem alguma informação pessoal obtida através das redes sociais, para personalizar o email e parecer convincente.
O spear phishing, tendo uma mensagem mais personalizada, tende a ser mais difícil de se identificar. Estes, geralmente são direcionados para executivos C-level (CEO, CTO CFO), uma vez que são estes que detêm informação crítica.
A melhor forma de prevenção contra o phishing é através de simulações e formações feitas pelos administradores de sistema, de forma que os colaboradores aprendam a identificar possíveis ataques. Além disso a proteção dentro das plataformas de email e endpoints é recomendada.
Os ataques de pretexting (pretexto) ocorrem quando os criminosos criam algum cenário fictício ou “desculpa” para aumentar a probabilidade da vítima divulgar informações confidenciais, sendo parte importante dos ataques de vishing.
Por exemplo, a vítima recebe um telefonema de alguém que diz ser um gestor ou alguma autoridade (impersonation), e sob a desculpa de que está a prepar uma surpresa especial para um colaborador, pede acesso a algum sistema ou informações que as quais supostamente teriam o direito de saber.
Para evitar este tipo de ataque, o primeiro passo é assumir que ele sempre é uma possibilidade e além disso é sempre importante confirmar a identidade de quem lhe contacta, antes de passar a informação solicitada.
A técnica conhecida como baiting consiste em explorar a curiosidade humana, a partir de dispositivos físicos como pen-drives, CDs e DVDs, para infectar o sistema do colaborador.
Imagine que um colaborador encontrou um pen-drive na sua caixa de correio ou no chão do parque perto do seu carro. Com a curiosidade de saber do que se tratava, acabou por conectá-lo ao PC da sua empresa e abre algum ficheiro desconhecido, que parecia uma música, que estava nele.
Neste caso, o colaborador foi vítima num esquema de baiting, e comprometeu a segurança da sua organização, que poderia ser afetada por exemplo com um ataque de ransomware.
Sendo assim, é necessário estar atento para não se deixar levar pela curiosidade. Caso note algum evento estranho, não deixe de informar odepartamento responsável da sua organização.
Como dito anteriormente, é necessário cultivar a cultura de segurança da informação dentro das organizações, para que os colaboradores tenham a noção de que podem participar ativamente no processo.
As medidas de prevenção como por exemplo software de segurança não são suficientes se os colaboradores não forem sensibilizados para as preocupações com social engineering. Isto porque muitas vezes a vulnerabilidade está no mundo físico e os ataques são iniciados das mais variadas formas, como um simples telefonema.
Portanto, as formas mais eficazes de combate ao social engineering são simulações, educação (formações) e criação de protocolos de segurança para informações sensíveis, pois assim os colaboradores estarão atentos e informados, mais preparados para agir caso notem algo suspeito.
Abrace a transformação digital com a Eurotux.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.