As ameaças à segurança online estão a aumentar, ao mesmo tempo que as empresas em geral se adaptam a uma força de trabalho mais remota e avaliam os modelos de trabalho para o futuro. Tendo em conta que os colaboradores são o elo mais fraco no que diz respeito à segurança de uma empresa, é essencial proteger os negócios e trabalhadores contra ameaças comuns, como ataques de phishing, que só têm vindo a aumentar durante a pandemia.
Os ataques de phishing são um
esquema comum em que alguém se apresenta como parte confiável (empregador,
banco ou funcionário do governo), na tentativa de roubar informações pessoais,
como números de cartão de crédito, nomes de utilizador e endereços de e-mail.
Às vezes, essas tentativas são óbvias: por exemplo, um pedido para transferir
dinheiro por parte de alguém que não se conhece. No entanto, estes esquemas
estão a tornar-se mais sofisticados e direcionados.
Um colaborador pode receber um e-mail
urgente do CEO a solicitar a compra de cartões-presente para um cliente ou do
departamento de Recursos Humanos a pedir informações pessoais para confirmar os
detalhes do recibo de salário. Estas situações podem ser mais difíceis de
detetar, principalmente se o alvo for um novo funcionário, ou alguém que esteja
com pressa ou até distraído.
Um colaborador com um log in “violado” pode causar estragos em toda a empresa, especialmente se este colaborador reutilizar passwords nas suas contas, colocando em risco dados comerciais sensíveis. Para atenuar isto, os empregadores devem garantir que os funcionários estejam familiarizados com as táticas utilizadas em esquemas específicos, como ataques de phishing, para que percebam os sinais de alerta a que devem estar atentos.
Sinais de alerta de ataques de phishing
Urgência
Os hackers geralmente criam um sentido de urgência, com a ameaça de interromper um serviço ou concedendo um prazo apertado. Por exemplo, um e-mail de phishing de alguém que se apresenta como um banco ou outra instituição financeira pode solicitar-lhe a confirmação da sua conta e o reenvio das suas informações de pagamento; caso contrário, a sua conta será encerrada. Se algo parecer estranho ou alarmante, vale a pena perder algum tempo para analisar melhor.
Falta de personalização
Os cibercriminosos costumam enviar
centenas de e-mails de uma só vez, sendo que um indício importante num e-mail
falso é a falta de um cumprimento personalizado. Suspeite se o e-mail não
incluir o seu nome ou nome de utilizador ou o tratar simplesmente como
“cliente” ou “titular da conta”.
Endereço de e-mail ilegítimo
Os cibercriminosos geralmente criam uma conta de e-mail que se assemelha ao endereço de e-mail oficial de uma empresa, com apenas uma letra ou palavra alteradas. Os e-mails de phishing também podem parecer que são remetidos por uma pessoa real da empresa; embora, após uma análise mais aprofundada, o endereço de e-mail em si não contenha o domínio de e-mail da empresa. Observe atentamente o endereço de e-mail do remetente para identificar quaisquer discrepâncias.
Ortografia / gramática fracas
Uma maneira rápida de identificar uma
fraude de phishing é a utilização de palavras com erros ortográficos e
gramática fraca no corpo de e-mail. Para aumentar ainda mais a
consciencialização e prevenir que haja vítimas destes esquemas, as empresas
devem considerar a execução de simulações de phishing, criando e-mails
e/ou sites de phishing simulados, e enviando-vos aos colaboradores. A
execução destes testes pode ajudar os trabalhadores a entender as diferentes formas
que um ataque de phishing pode assumir, aprender a identificar melhor as
suas características e a enfatizar a importância de evitar clicar em links
maliciosos. Um estudo do Ponemon Institute descobriu que as simulações de phishing
provaram duplicar as taxas de retenção de consciência dos colaboradores e geraram
um ROI (retorno sobre o investimento) de quase 40% em comparação com as táticas
tradicionais de treino em cibersegurança.
Para realizar com sucesso uma simulação de phishing, os empregadores devem
Educar
Treine os colaboradores acerca dos
detalhes, acima mencionados, de um esquema de phishing e sobre a maneira
de os identificar. Informe-os ainda que a empresa estará a executar testes
ocasionais para ajudar a preparar os colaboradores para um ciberataque em
ambiente controlado.
Criar um protocolo
Determine uma maneira fácil de os funcionários sinalizarem possíveis esquemas de phishing para a sua equipa de TI / segurança. Isto pode assumir a forma de um código específico de e-mail ou de um botão incorporado nas caixas de entrada dos colaboradores.
Ter em conta o tempo
O teste deve ser construído como uma
série contínua de simulações de phishing, ao longo do tempo, para
avaliar os sucessos e as melhorias. Estes devem variar no método, para oferecer
aos colaboradores várias oportunidades de aprendizagem.
Incluir todos
Os gestores séniores e os executivos
geralmente são os principais alvos dos esquemas de phishing, por isso é
importante que os mesmos sejam incluídos nos testes.
Ajustar relatórios
Os relatórios são cruciais para medir o sucesso e acompanhar as melhorias. Há três métricas principais que se devem avaliar: 1) as taxas de cliques no link; 2) o número de funcionários que revelam dados confidenciais (ou seja, facultam uma combinação de utilizador / password) e 3) o número de funcionários que sinalizaram um e-mail de phishing. Os dois primeiros devem diminuir com o tempo, enquanto que o número de pessoas que denunciam um e-mail de phishing deve aumentar ao longo do tempo.
Ajudar os que têm baixo desempenho
Uma das partes mais importantes de
qualquer simulação de phishing é proporcionar treino adicional para
ajudar os que têm baixo desempenho a alcançar o sucesso. Isto deve ser feito de
maneira educada e amigável, uma vez que é importante que os colaboradores se
sintam à vontade para falar sobre as suas dificuldades com a cibersegurança. Informe
os infratores acerca da primeira vez que cometeram erros no teste de phishing
e disponibilize informação adicional sobre como identificar um e-mail falso. Os
gestores devem intervir mais de perto com os que têm problemas recorrentes, oferecendo
um tutorial que inclua exemplos mediáticos e situações que ocorreram com outras
empresas.
Por fim, instrua as equipas acerca das práticas recomendadas de segurança em geral, para garantir que estas tomem precauções extra quando se trata de contas e dispositivos relacionados com o trabalho. Isto pode incluir a ativação da autenticação de dois fatores para uma camada adicional de segurança e a utilização de uma password forte e diferente para cada conta. O último é crítico, especialmente para colaboradores que possam ter utilizado a mesma password em contas pessoais e empresariais no passado. É fundamental que todos entendam que a utilização de passwords exclusivas garante que, se uma conta for “violada”, as outras contam permaneçam seguras.
Educar o seu local de trabalho acerca de ameaças comuns e boas práticas recomendadas reduzirá os riscos potenciais aos quais a empresa é exposta através dos seus colaboradores. Sem uma abordagem cuidadosa e à segurança, a sua empresa pode tornar-se na próxima vítima de uma violação de dados.
IN "EXAME INFORMÁTICA"
10/08/20
.
Sem comentários:
Enviar um comentário