Protegendo sua pequena empresa contra ataques de phishing
Publicados: 2021-07-27Pergunte a qualquer pessoa e ela ou alguém que ela conhece terá sofrido um ataque de phishing. Não só isso, mas eles provavelmente conhecem alguém que realmente perdeu dinheiro por causa de um.
O phishing continua sendo o tipo mais comum de ataque cibernético, com 74% das organizações nos EUA atacadas com sucesso no ano passado. Infelizmente, as pequenas empresas são particularmente vulneráveis porque geralmente não possuem os recursos e o conhecimento necessários para se proteger contra esses ataques.
Por que os hackers gostam de segmentar pequenas empresas?
Na maioria das vezes, as pequenas empresas tendem a sentir que a segurança cibernética não é relevante para elas porque não têm as grandes quantidades de dados ou ativos financeiros que pensam que os hackers estão procurando, então por que se preocupar em dedicar tempo e esforço para se proteger? ?
No entanto, esse é exatamente o tipo de mentalidade em que os cibercriminosos confiam, pois essas empresas não conseguirão implementar medidas de segurança eficazes, tornando-as alvos fáceis e fáceis para os hackers. As pequenas empresas não costumam investir em treinamento de segurança cibernética para seus funcionários, portanto, os ataques de phishing, projetados para enganar as pessoas, têm muito mais chances de serem bem-sucedidos quando o destinatário não tem o know-how para lidar com isso.
Para alguns ataques, as pequenas empresas nem são o alvo final. O hacker usa uma pequena empresa como um ponto de entrada fácil, um trampolim para empresas maiores na cadeia de suprimentos que realmente as recompensarão. Esses ataques à cadeia de suprimentos estão aumentando e quase sempre começam com uma pequena empresa que simplesmente não tinha as defesas cibernéticas para se proteger adequadamente.
Como funciona o phishing?
Os ataques de phishing ainda são um dos tipos mais comuns de ataque cibernético às empresas, com 241.324 incidentes somente nos EUA no ano passado. A pesquisa de violações cibernéticas do governo do Reino Unido em 2021 também revelou o phishing como o vetor de ameaças número um, responsável por 83% dos ataques.
Hackear um sistema leva tempo e esforço, mas conseguir que alguém lhe dê acesso a esses sistemas, aproveitando sua confiança e enganando-os, é muito mais fácil. O phishing de e-mail é direcionado especificamente a humanos e geralmente usa técnicas de engenharia social para atrair o usuário a fornecer informações confidenciais ou clicar em um link que aciona a instalação de malware ou ransomware no sistema do destinatário.
Você pode ser alvo de uma campanha em massa ou pode ser um ataque mais específico e mais pensado à sua organização. Neste último caso, os hackers podem usar certas informações sobre sua empresa ou outros funcionários para tornar o e-mail mais convincente. Esse tipo de ataque é conhecido como spear phishing.
Casos de comprometimento de e-mail comercial tornam particularmente difícil identificar um golpista porque, até onde você sabe, você está recebendo um e-mail legítimo de um colega ou parceiro de negócios. Esses tipos de ataques são usados para incentivar funcionários, clientes ou qualquer pessoa na cadeia de suprimentos a fornecer dados confidenciais ou transferir fundos (que, obviamente, serão direcionados para a conta bancária do hacker).
A perda financeira pode ter uma séria repercussão para uma pequena empresa envolvida em um ataque de phishing, mas as coisas podem ficar muito piores se pessoas de fora da sua organização se tornarem alvos da sua empresa. Se os hackers conseguirem acessar a conta de um funcionário e enviar e-mails para fornecedores, clientes ou parceiros de sua empresa, você poderá afetar seriamente esses relacionamentos confiáveis e perder negócios devido a preocupações de que sua empresa não seja segura.
Como identificar um ataque de phishing
Todos nós pensamos que sabemos como identificar um, mas os e-mails de phishing hoje são muito mais sofisticados, exigindo níveis ainda mais altos de vigilância.
Então, o que você pode olhar para fora?
- Sempre olhe atentamente para o remetente. Os domínios falsificados podem ser apenas um domínio confiável que foi sutilmente alterado, por exemplo, um 'i' em '1'
- Verifique o conteúdo. Se promessas suspeitas são feitas e parece bom demais para ser verdade, provavelmente é.
- Cuidado com o tom. Os hackers costumam usar a urgência em e-mails de phishing para convencê-lo a agir antes que você tenha a chance de pensar.
- Pronúncia e gramática. A ortografia e a gramática corretas nem sempre são o ponto forte de um hacker, portanto, erros óbvios podem ser um sinal de spam.
Em termos de golpes BEC, que geralmente são muito mais difíceis de detectar, é importante ter cautela antes de enviar qualquer informação. Golpes populares incluem enviar faturas falsas para clientes, se passar por alguém da alta administração para solicitar dinheiro de funcionários ou se passar por advogados para solicitar dinheiro de clientes. Em geral, é recomendável que você verifique todas as solicitações de transferência de dinheiro recebidas em sua caixa de entrada.
O que você pode fazer como uma pequena empresa?
Treinamento de funcionário
A chave para proteger sua empresa contra ataques de phishing é garantir que a equipe seja treinada adequadamente, pois o erro humano é o motivo pelo qual uma tentativa de phishing é bem-sucedida. É responsabilidade de um CEO ou proprietário de uma organização garantir que os funcionários tenham a orientação correta sobre ataques de phishing, como detectá-los e o que fazer caso encontre um.
Cultivar uma cultura de segurança e conscientização e garantir que os funcionários tenham o conhecimento correto é especialmente importante quando alguns usuários podem estar trabalhando em casa, porque há menos visibilidade e controle nesses ambientes.
As políticas de segurança são uma boa maneira de transmitir essa orientação e garantir que os funcionários leiam e compreendam que pode fazer parte do processo de integração do funcionário. Os exercícios de segurança cibernética também são uma boa maneira de testar esse conhecimento – há muitos exercícios on-line que podem ser usados gratuitamente, como o 'exercício em uma caixa' do NCSC. Por alguns dólares por mês, outras empresas podem fornecer treinamento de segurança, como simulações de phishing, nas quais você pode acompanhar as respostas dos funcionários.
Controle de acesso
É útil limitar o número de pontos de entrada valiosos que um hacker pode explorar reduzindo os privilégios de conta em sua empresa. Os funcionários só devem ter acesso ao que precisam para desempenhar suas funções.
Dessa forma, se um cibercriminoso invadir sua conta, ele não poderá acessar todos os dados confidenciais da empresa e a violação poderá ser contida. As contas de administrador devem ser reservadas para gerenciamento de nível superior. Para proteger ainda mais suas contas contra violações, pratique uma boa segurança de senha e garanta que a autenticação multifator seja ativada.
Backup de dados
Fazer backup regular de todos os dados confidenciais em sua organização significa que nem tudo será perdido se um hacker conseguir obter acesso por meio de uma tentativa de phishing. Idealmente, sua estratégia de backup deve atender à prática recomendada de três cópias: duas em mídia diferente, sendo uma externa, e todos os backups devem ser criptografados para segurança extra. Você pode optar por fazer backup usando um provedor de nuvem ou uma unidade externa, mas qualquer que seja o método, eles devem ser monitorados e verificados regularmente para garantir que a recuperação seja possível.
Software de segurança
Garantir que o software de segurança esteja sempre atualizado é essencial para proteção contra violações e ataques de phishing. Eles geralmente são configurados para atualizar automaticamente, mas sempre vale a pena verificar os patches mais recentes. Embora o treinamento de funcionários desempenhe o maior papel na prevenção de ataques de phishing, proteções adicionais são úteis porque nem sempre você pode garantir que os humanos acertarão, não importa quanto treinamento e vigilância cibernética eles tenham.
Soluções de segurança de terceiros podem ser implementadas para funcionar em segundo plano, monitorando a atividade de e-mail dos usuários, tentativas de login e downloads de arquivos, para que quaisquer anomalias ou contas violadas sejam encontradas e relatadas rapidamente. Isso pode ajudar a criar uma rede de segurança para que, mesmo quando um funcionário da empresa cometa um erro, ele não precise ser desastroso.
Conclusão
Proteger sua organização contra ataques de phishing não precisa ser caro ou demorado, mas é vital que as pequenas e médias empresas tenham uma abordagem em camadas, garantindo que a equipe receba o treinamento certo, além de gerenciar e configurar o software adequadamente para desenvolver ainda mais suas defesas.
Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.