Seja mais esperto que os golpistas: como as startups podem evitar ataques de phishing

Os ataques de phishing estão aumentando e as startups são os principais alvos desses golpes maliciosos. Com as violações de dados custando às empresas uma média de US$ 3,86 milhões em 2020, de acordo com a IBM, é hora das startups levarem a sério a questão de evitar o phishing. Se a ameaça de enormes perdas financeiras não chamar a sua atenção, talvez isso aconteça: 91% dos ataques cibernéticos começam com um e-mail de phishing.

Claramente, proteger proativamente sua startup contra ataques de phishing precisa ser uma prioridade máxima. Mas com os golpistas mudando constantemente suas táticas, como as startups e empreendedores ocupados podem garantir que não morderão a isca?

Este artigo revelará estratégias-chave para reconhecer tentativas de phishing, impedindo-as de se infiltrarem na caixa de entrada da sua empresa, treinando funcionários para evitar armadilhas e aproveitando a tecnologia para ficarem em guarda contra os esquemas mais recentes. Implemente essas medidas de defesa contra phishing agora e você estará bem equipado para ser mais esperto que até mesmo os golpistas mais sorrateiros.

Com as informações confidenciais, a reputação e os resultados financeiros da sua startup em jogo, você não pode se dar ao luxo de ser fisgado.

O que é Phishing e como ele atinge startups?

Phishing é uma tática de crime cibernético que usa e-mails, mensagens de texto, ligações ou sites fraudulentos para enganar os usuários da Internet e fazê-los compartilhar dados confidenciais, como senhas e informações bancárias. As mensagens geralmente vêm de imitadores que atuam como fontes confiáveis, como bancos, empresas de cartão de crédito ou plataformas de mídia social. Links de phishing podem instalar malware se clicados, e todos os dados inseridos vão diretamente para os criminosos.

Estes esquemas visam frequentemente startups porque tendem a ter uma segurança cibernética menos rigorosa do que as grandes empresas. Muitas vezes, as startups não têm orçamento ou pessoal para manter defesas contra phishing de alto nível.

Além disso, as startups armazenam dados valiosos, como propriedade intelectual, informações de clientes e finanças, que constituem alvos lucrativos. Os funcionários de empresas jovens podem estar menos treinados para detectar tentativas de phishing.

Os golpistas podem obter facilmente e-mails de trabalho e mensagens falsas que parecem comunicações internas. Além disso, as startups tendem a ter culturas abertas que enfatizam a colaboração e a partilha de informações entre os funcionários, tornando os funcionários mais propensos a clicar num link do que parece ser um colega de trabalho.

Reconhecendo sinais de alerta: identificando mensagens suspeitas

E-mails de phishing podem parecer incrivelmente legítimos, mas há sinais reveladores que todo funcionário de uma startup deve observar:

• Solicitações de credenciais de login, detalhes de contas bancárias ou outras informações confidenciais
• Links para clicar ou anexos para abrir
• Endereços de e-mail de nomes de domínio com erros ortográficos ou ligeiramente alterados
• Má gramática, erros ortográficos ou frases estranhas
• Linguagem ameaçadora ou um falso senso de urgência
• Links de sites com extensões estranhas como .co em vez de .com

Endereços de e-mail falsificados que imitam colegas ou líderes são um grande sinal de alerta. Outra dádiva são saudações impessoais como “Olá, senhor/senhora”, já que a maioria das empresas não se comunica dessa forma internamente. Visualmente, a má qualidade da imagem nos logotipos ou a formatação bizarra podem significar uma tentativa de phishing.

Protegendo sua caixa de entrada

A medida mais direta que uma startup pode tomar contra o phishing é adotar protocolos de segurança de e-mail que fortaleçam as caixas de entrada:

• Habilite a autenticação de dois fatores usando SMS ou um aplicativo autenticador para que os funcionários possam confirmar as tentativas de login.
• Treine a equipe para nunca clicar em links ou baixar anexos em e-mails, a menos que seja verificado como legítimo.
• Implemente protocolos DMARC e SPF que autenticam remetentes de e-mail, evitando falsificação.
• Use um firewall de e-mail para filtrar e colocar em quarentena mensagens suspeitas com links, anexos ou solicitações estranhas.
• Implante IA que examina a estrutura e a formatação das frases para detectar e-mails fraudulentos.
• Coloque termos e domínios de phishing conhecidos na lista negra para que sejam bloqueados nas caixas de entrada dos funcionários.

A educação contínua e a segurança avançada de e-mail oferecem, juntas, a melhor defesa contra táticas de phishing cada vez mais inteligentes.

Protegendo os dados da empresa

Limitar o acesso dos funcionários a dados confidenciais com base em suas funções é uma tática antiphishing importante, assim como fornecer chaves de quartos de hotel apenas a hóspedes registrados. Defina permissões para que as equipes de vendas possam acessar apenas os detalhes dos clientes de suas contas, evitando um despejo completo de dados dos clientes se eles forem vítimas de phishing. Faça com que as equipes de TI habilitem a autenticação de dois fatores para acessar bancos de dados, como adicionar códigos PIN às chaves dos quartos.

Alerte os funcionários contra o compartilhamento excessivo de informações da empresa publicamente on-line ou com estranhos que os contatem, como manter as portas dos quartos de hotel trancadas. Deixe claro que dúvidas sobre dados financeiros, especificações técnicas e outras propriedades intelectuais devem ser encaminhadas para a equipe de relações públicas, como fazer com que os convidados se dirijam à recepção em vez de às portas dos quartos.

Proteja seu site e aplicativos internos para que os visitantes de sites de phishing não possam roubar senhas por meio de skimming entre sites, assim como proteger quiosques de pagamento de lobby de skimmers de cartão. Aplique senhas fortes alteradas a cada 90 dias para proteger as contas, como fazer com que os hóspedes definam novos códigos de quarto durante estadias prolongadas.

Treinando funcionários para detectar phishing

Inclua a conscientização sobre phishing na orientação para novas contratações, como hotéis revisando protocolos de emergência. Envie e-mails de phishing simulados para testar as taxas de resposta da equipe, como falsos alarmes de incêndio. Ofereça atualizações sobre como identificar sinais de alerta à medida que os golpes evoluem, como a atualização de mapas de evacuação.

Ensine truques aos funcionários, como passar o mouse sobre links incorporados para visualizar destinos, assim como revisar rotas de mapas sugeridas por estranhos. Mostre exemplos de e-mails de phishing relatados e analise anomalias, como a representação de ladrões disfarçados de convidados. Incentive-os a questionar solicitações estranhas em mensagens para verificar a legitimidade, como confirmar horários de serviço de limpeza escondidos por baixo da porta.

Promover uma cultura de vigilância em torno de ligações e anexos, como aconselhar os viajantes a terem cuidado com os advogados. Deixe claro que é melhor verificar novamente do que arriscar um vírus, assim como verificar se os motoristas do ônibus são sancionados pelo hotel. Mantenha um diálogo aberto para que a equipe se sinta confortável em sinalizar mensagens suspeitas.

Mantendo a vigilância nas redes sociais

Monitore contas sociais falsas que se façam passar pela liderança ou pela empresa, como observar alguém se passando por concierge de um hotel. Verifique perfis oficiais por meio de contatos em plataformas sociais, como fazer contato com sites de viagens para expor listagens fraudulentas. Denuncie impostores que tentam fazer phishing com funcionários por meio da mídia social, semelhante a denunciar golpistas por telefone que se fazem passar por funcionários da recepção.

Avalie novas conexões de mídia social que solicitem acesso às contas da empresa com um escrutínio extra, da mesma forma que examina minuciosamente os candidatos a aluguel. Procure pequenas diferenças nos identificadores ou na marca que indiquem fraudes, como nomes de hotéis incorretos.

Solicite videochamadas para confirmar identidades, se necessário, como exigir confirmação de identidade no check-in. Limite o acesso à conta apenas aos membros principais da equipe, como restringir as áreas da equipe ao pessoal autorizado.

Fique atento enquanto os golpistas migram para novas plataformas. Mantenha as políticas de segurança das redes sociais atualizadas e procure novas proteções contra ameaças de phishing. Lembre aos funcionários que é melhor tomar medidas preventivas contra o phishing socialmente, assim como aconselhar os hóspedes a guardarem objetos de valor em cofres.

Principais vantagens: seja mais esperto que os golpistas

Com os ataques de phishing se multiplicando a cada ano, nenhuma startup pode se dar ao luxo de ignorar a ameaça de ter seus dados e dinheiro fisgados por golpistas. Mas, como este artigo revelou, revidar está totalmente dentro de suas capacidades. Ao combinar a educação dos funcionários, protocolos de segurança de e-mail, controle de acesso e vigilância de mídias sociais, sua startup pode enfrentar os phishers de frente.

Não se torne mais uma estatística de phishing com hemorragia de milhões devido a um único clique enganoso. Implemente defesas abrangentes contra phishing que capacitem sua força de trabalho a reconhecer e resistir a ataques.

Aproveite as proteções técnicas mais recentes para bloquear caixas de entrada e autenticar comunicações. O sucesso da sua startup está em jogo. Mantenha o foco, proteja-se e deixe seu negócio prosperar enquanto os golpistas ficam em busca de seu próximo alvo. Com inteligência, vigilância e as ferramentas certas, você pode colocar sua startup com segurança nas margens da prosperidade e deixar os phishers em dificuldades.