Neste artigo, discutiremos o que você pode fazer para evitar ataques de phishing 2024
Descubra como detectar phishing e o que sua empresa precisa fazer para impedi-lo. Leia sobre como evitar ser phishing e como parar de receber e-mails de phishing.
Ataques de phishing, e não vírus ou hackers, são a maior ameaça para as empresas atualmente. Este artigo irá ensiná-lo a identificar e interromper e-mails de phishing para que eles não prejudiquem seus negócios e evitem que pessoas mal-intencionadas o façam.
Deixe-me perguntar o seguinte: quão consciente e proativo você é quando se trata de encontrar e impedir o phishing? Quão segura você acha que sua empresa está contra ataques cibernéticos?
Ataques de phishing em números
- Este ano, 65% das empresas nos Estados Unidos foram vítimas de phishing.
- Este ano, os ataques de phishing atingiram 84% de todas as pequenas e médias empresas (SMBs).
- 65 por cento das SMBs nunca fizeram um teste para e-mails de phishing.
- Seis meses após um ataque cibernético ou violação de dados, 60% das pequenas empresas não conseguem se recuperar e acabam fechando.
- O malware nem é usado em 86% dos ataques por e-mail.
- Phishing é a causa de 32% de todos os vazamentos de dados.
- Para uma empresa de médio porte, espera-se que um ataque de phishing cause US$ 1.6 milhão em danos.
A situação vai piorar antes de melhorar, dizem os especialistas. Isso é demonstrado pelo recente aumento de ataques de phishing durante a pandemia de COVID-19.
Hoje em dia, é fácil iniciar um novo negócio, mas a maioria dos empreendedores não tem fluxo de caixa ou conhecimento de segurança para proteger suas startups de invasores.
Os ataques de phishing são direcionados principalmente a quem?
Créditos da imagem: pexels
As seguintes categorias de negócios estão entre aquelas consideradas “apetitosas” pelos fraudadores. Deve ser dada prioridade à implementação de medidas de segurança.
- Empresas que utilizam SaaS (33,5%)
- Empresas financeiras (19.4%)
- Redes sociais (8.3%)
- Utilizadores de serviços de pagamento (13.3%)
- Comércio eletrônico (6,2%)
A maioria dos ataques são direcionados a pequenas empresas
As pessoas pensam que os hackers não perseguem as pequenas empresas tanto quanto as grandes empresas, porque as grandes empresas têm mais dinheiro e produtos melhores.
Na verdade, é o contrário. As pequenas empresas têm maior probabilidade de serem atacadas porque têm menos dinheiro e menos funcionários que sabem como lidar com um ataque. Isso os torna alvos fáceis. Os hackers costumam usar ataques de phishing para tirar proveito de pontos fracos em empresas menores que não têm muito ou nenhum dinheiro para gastar em segurança.
Danos causados por phishing afetam os resultados da sua empresa
Não há dúvida de que o phishing prejudica seus resultados. A questão é quanto dano você acha que vai conseguir? Você tem que responder a esta pergunta para que possa descobrir quais passos você precisa tomar para se proteger deste cibercrime desagradável.
Se a sua solução de segurança não for muito boa ou não existir, você certamente será vítima de cibercrimes e golpes que podem custar muito dinheiro. O cibercrime geralmente está associado a vírus e trojans, mas os golpes de phishing são o perigo real.
Como qualquer um pode fazer isso, o phishing é muito mais assustador do que outros tipos de malware. Os cibercriminosos podem iniciar campanhas de phishing sem escrever códigos complicados ou usar ferramentas especiais. Eles também são fáceis de executar e quase impossíveis de rastrear.
A maioria das empresas usa computadores que executam o Windows. Isso tornou o Windows um alvo mais fácil do que outros sistemas operacionais como Linux ou macOS no passado. As pessoas pensam que o Windows é especialmente vulnerável a malware por causa disso.
Recomendamos que você não confie em quão seguro você acha que um sistema operacional é. Não importa qual sistema operacional você use, verifique se você tem proteção suficiente e se ainda não foi infectado.
Como funciona o phishing?
Phishing é um tipo de crime cibernético no qual o alvo é induzido a fornecer informações confidenciais, como informações bancárias, números de cartão de crédito, senhas e informações sobre quem são.
Os criminosos fingem ser empresas reais e entram em contato com suas vítimas por telefone, mensagem de texto, e-mail ou todos os três, se tiverem informações suficientes sobre suas vítimas. As vítimas serão induzidas a clicar em um link inválido que instala spyware, ransomware ou malware em seus computadores.
Outros tipos de phishing usam sites ou documentos falsos que parecem ter vindo de uma fonte confiável. Por exemplo, pode ser uma página como banco on-line onde você insere suas informações de perfil, informações de pagamento ou informações pessoais.
Tirar proveito de dados roubados pode levar ao roubo de identidade, controle de conta e perda financeira, ou pode ser usado para vender suas informações a terceiros.
Uma pesquisa rápida no endereço de e-mail pode dizer se o remetente é real, mas poucas pessoas sabem sobre essa medida de segurança, e todo funcionário precisa saber disso para interromper os e-mails de phishing.
Qual é a aparência de um e-mail de phishing?
Um exemplo perfeito de ataque de phishing é receber um e-mail urgente de um grande banco ou empresa de cartão de crédito informando que houve uma violação de dados e que você precisa corrigir sua conta imediatamente ou ela será congelada.
Os invasores estão apostando que você possui uma conta bancária ou cartão de crédito nesse banco ou empresa.
A maioria das pessoas fica com medo quando recebe um e-mail urgente, então eles fazem o que o e-mail diz e clicam no link ou baixam o anexo. Este é o começo do fim.
As vítimas não sabem que estão colocando suas informações de login em um site falso controlado pelo invasor ou que estão baixando malware em seus computadores.
Geralmente, existem quatro tipos de tentativas de phishing:
- URLs modificados: esses URLs parecem iguais aos URLs reais da empresa, mas podem estar faltando uma letra. Portanto, você deve ter cuidado e certificar-se de que é real antes de clicar no link.
- Um telefonema ou e-mail falso: Os fraudadores podem solicitar informações pessoais fingindo ser de uma empresa. Não conte essas informações a ninguém até ter certeza de que não está lidando com golpistas;
- Malware incorporado em um e-mail ou link: Esta é uma maneira comum de trapacear. Para evitar truques de intrusos, não clique em links incompletos e use apenas programas certificados;
- Páginas de pedidos falsas. Você pode ser enganado e divulgar suas informações pessoais falsificando a página do pedido na loja;
- Suspensão de contas PayPal O resultado de ladrões roubando seu dinheiro por meio de contas do PayPal. Às vezes, eles enviam cartas usando endereços de e-mail falsos. Eles querem saber quanto dinheiro você tem em suas contas bancárias e outras informações. Se você achou a carta estranha, não responda. Em vez disso, ligue para os representantes reais da empresa.
Medidas de prevenção de phishing para empresas
Assim que possível, tome as medidas necessárias para proteger sua empresa contra ataques de phishing. Se sua empresa ainda não seguiu as etapas a seguir, provavelmente você está vulnerável a ataques.
Ainda assim, os ataques de phishing sempre tentam contornar as melhores maneiras de se proteger, portanto, seus profissionais de TI ou provedor de TI devem se manter atualizados e reforçar e melhorar sua segurança o tempo todo.
Vejamos o que você pode e deve fazer para impedir o phishing em sua empresa.
1. Detecção de e-mail de phishing
Todas as pessoas que trabalham para sua empresa precisam saber como identificar um e-mail de phishing. Uma pessoa real pode ser identificada a partir de um e-mail olhando para ele.
Com uma pesquisa de endereço de e-mail, por exemplo, você pode descobrir de onde veio o e-mail. Se o domínio for diferente do nome da mensagem, pode ter certeza de que é uma tentativa de phishing.
Os e-mails de phishing não usam o nome do alvo e podem começar com uma saudação genérica como “Prezado cliente”. Isso é um sinal de que o e-mail é de um golpista.
Os e-mails de phishing também usam domínios falsos ou falsificados que ocultam o domínio real ou usam um que se parece com o original (Google, Microsoft) para fazer o alvo pensar que é real.
2. Treinamento Regular de Cibersegurança para Funcionários
Mesmo que você conheça essas ameaças on-line e saiba o que fazer quando o phishing acontecer, talvez seus funcionários não saibam.
Certifique-se de que todos em sua equipe recebam treinamento básico em segurança e higiene online para ensiná-los a lidar com TODOS os e-mails (não clique em links ou baixe anexos), não importa de onde eles vieram.
Você deve ter muito cuidado para seguir as regras de segurança ao pé da letra, porque mesmo um pequeno erro pode custar muito dinheiro. Também ajudaria se você pudesse executar exercícios regulares de segurança cibernética focados em ataques de phishing, para que sua equipe soubesse o que fazer em qualquer situação.
Reforce constantemente a consciência de segurança cibernética das pessoas:
Uma das táticas populares é o sextortion. É diferente porque os sentimentos de uma pessoa são usados para levá-la a enviar o resgate. Medo ou pânico são dois exemplos. A Cofense encontrou uma botnet no setor. Tinha 200 milhões de endereços de e-mail em junho deste ano. Logo, havia mais 330 milhões deles. Por isso, é importante conscientizar as pessoas. Se você deseja manter sua empresa segura, precisa garantir que seus funcionários sejam informados e treinados.
Nenhuma tecnologia pode substituir funcionários experientes:
Um ataque de phishing foi direcionado a uma grande empresa da área médica. Mas quando as pessoas disseram que receberam cartas suspeitas, o centro de segurança foi capaz de agir rapidamente. Aos 19 minutos, o ataque foi interrompido.
3. Mantenha seu sistema operacional e software atualizados
Em alguns ataques de phishing, software desatualizado ou sistemas operacionais são usados para distribuir malware.
Certifique-se de que todos os dispositivos da empresa estejam executando as versões mais recentes de seus sistemas operacionais e que TODOS os softwares estejam corrigidos e atualizados. Os hackers costumam usar players de mídia, visualizadores de PDF e programas de videoconferência, portanto, devem ser mantidos atualizados.
4. Realize uma auditoria de senha
Faça uma auditoria de senha para todo o escritório para verificar e eliminar senhas fracas ou duplicadas.
Use uma senha forte para cada conta e não use a mesma senha em nenhum outro lugar. Isso faz parte de uma política de senha adequada. Um invasor pode entrar e causar danos com apenas uma senha.
Invista em um gerenciador de senhas e certifique-se de que todos usem a senha forte que o programa cria ou uma sequência de três a quatro palavras aleatórias.
5. Aplicar a autenticação multifator em todas as contas
Certifique-se de que a autenticação multifator esteja ativada por padrão para todas as contas online. Isso adicionará uma camada extra de segurança que os invasores não podem contornar sem o dispositivo que possui o código autenticado. Você pode usar um dispositivo de autenticação física ou um aplicativo executado em um smartphone.
Não confie em HTTPS:
SSL não é mais um sinal de segurança. É um conjunto de regras para fazer uma conexão segura. As pessoas aprenderam a diferenciar HTTP e HTTPS com o tempo e só visitam sites com o certificado correto. Mas hoje, os fraudadores também usam o protocolo de criptografia. No final do ano, TLS ou SSL era usado em 74% dos sites de phishing.
6. Isolar e fazer backup de componentes críticos
A infraestrutura da sua empresa possui partes importantes que nem todos precisam ter acesso.
Algumas partes nem precisam estar na Internet. Isso ajudaria a manter as partes importantes de sua infraestrutura tão separadas quanto possível. Por exemplo, você pode limitar o acesso a alguns servidores e manter sistemas inteiros offline.
Se o ransomware atacar, ter vários backups também ajudará você a recuperar seus sistemas.
7. Torne o recurso compatível com PCI
Ter certeza absoluta sobre isso é essencial. Apesar de suas limitações, essa medida pode evitar muitas fraudes.
8. Crie uma conexão segura
Use uma VPN para trabalhar em casa ou em locais públicos. Isso ajudará a evitar que as informações se espalhem e a protegê-lo de pessoas que desejam prejudicá-lo. VPN é um software que permite alterar seu endereço IP. Portanto, agora é seguro usar a Internet.
9. Instale um firewall de aplicativo da Web
Entre a conexão de dados e o servidor do site, é um serviço de nuvem. Todo o tráfego que chega passa por este ponto. Isso permite que o WAF rastreie o tráfego indesejado e interrompa as tentativas de invasão.
Outras ameaças a serem observadas
Além dos ataques de phishing mais comuns, os sites comerciais precisam se proteger de outras ameaças que estão aumentando. Existem muitas ameaças no mundo do malware, mas as próximas duas são especialmente importantes de se conhecer. Como essas ameaças ainda são relativamente novas e a maioria das empresas não as conhece, elas não estão bem protegidas.
1. Bots maliciosos
O uso de bots maliciosos é uma forma relativamente nova de atacar. Esses bots se espalham e são feitos para realizar determinadas ações ou tarefas. Primeiro, eles rastejam pelo site. No processo, falhas na segurança são encontradas. As informações são enviadas para o mestre do bot ou usadas para fazer algo específico.
Portanto, a segurança do seu site pode estar em risco. Na maioria das vezes, os cibercriminosos usam esses tipos de ataques para ganhar dinheiro. Eles podem roubar seus clientes e vendê-los aos concorrentes, ou podem chantageá-lo para não contar a ninguém em troca de uma quantia fixa.
Existem muitos desses tipos de ataques e não há uma maneira de detê-los ou detê-los. Portanto, é melhor ter um especialista técnico separado na equipe cujo trabalho é manter seu site seguro. Se houver um ataque, ele poderá responder rapidamente ao mau comportamento e limitar os danos.
2. Ataques a sites e programas via injeção de MySQL
Entrar no banco de dados é o principal objetivo desse ataque. Os fraudadores procuram buracos no back-end de um site ou aplicativo da web e executam códigos maliciosos por meio deles. A segunda parte faz parte do pedido. Depois de fazer isso, o fraudador não apenas entra no banco de dados do alvo, mas também tem controle total sobre ele.
Na maioria das vezes, existem três maneiras de penetrar:
- Erros no site para e-commerce;
- Falhas de segurança no código do usuário;
- Bugs em módulos de terceiros.
Para se proteger contra esse tipo de ataque de forma confiável, você deve ficar de olho no servidor SQL. Isso ajudará você a detectar erros o mais rápido possível.
Links Rápidos:
- Não seja fisgado por phishing
- Riscos de segurança de trabalho remoto mais comuns: Riscos e dicas de segurança de trabalho remoto
- Revisão do LastPass: recursos e preços (o LastPass é confiável?)
- Privacidade online: 5 maneiras de proteger sua identidade digital
Conclusão: o que você pode fazer para evitar ataques de phishing em 2024
Se você executar um empresa de pequeno porte, isso não significa que sua superfície de ataque seja menor ou menos interessante do que a de uma grande empresa. Lembre-se de que os ataques de phishing podem acontecer com qualquer pessoa e você nunca deve presumir que isso não acontecerá com você ou com qualquer outra pessoa em sua organização.
Muitos golpistas estão se aproveitando da atual pandemia que está varrendo o mundo. As tentativas de phishing aumentaram em impressionantes 350% e estão atingindo empresas e pessoas com a mesma força.
Isso ajudaria a estabelecer um plano de proteção proativo que inclua o investimento em segurança cibernética e ferramentas de proteção contra roubo e treinamento de funcionários sobre como lidar com phishing e outros tipos de ataques cibernéticos.
A implementação de medidas de segurança ativas pode ajudar a interromper ataques e reduzir as chances de violação. Colocar um pouco mais de dinheiro em segurança agora pode economizar dinheiro e sua reputação a longo prazo.
