Conscientização sobre segurança de e-mail para funcionários

Com a ciberataque evoluindo a cada dia, os ataques por e-mail continuam sendo o principal vetor pelo qual o malware é entregue às organizações. Os ataques por e-mail continuam extremamente lucrativos para os criminosos cibernéticos, e uma das razões para isso são os usuários finais. O sucesso dos ataques por e-mail depende muito dos usuários finais e isso os torna extremamente perigosos para as organizações. Aprenda como educar seus funcionários sobre segurança de e-mail.

Solicite uma demo Leia o relatório Forrester Wave™

Educação e Conscientização são os primeiros passos

Apenas um e-mail aparentemente inocente pode custar milhões de dólares às empresas e interromper a continuidade dos negócios. Acrescente a isso a sofisticação dos ataques por e-mail e as técnicas meticulosas de engenharia social utilizadas, e temos uma receita para um potencial desastre cibernético. Portanto, além de implantar a melhor solução de segurança de email disponível, as organizações devem educar seus funcionários sobre esquemas de email, para criar uma última linha de defesa contra esses ataques.

Técnicas comuns de engenharia social e como elas exploram a natureza humana

Os engenheiros sociais sabem como os humanos trabalham e pensam e ficam mais do que felizes em tirar proveito desse conhecimento. Um engenheiro social pode usar uma série de táticas diferentes para fazer com que seu alvo faça o que deseja:

 

  • Uso de autoridade: As organizações são construídas como hierarquias, onde as pessoas que estão no topo estão no comando. Um engenheiro social pode se passar por alguém com autoridade e ordenar que seu alvo tome alguma ação.
  • Ativando o charme: as pessoas são mais propensas a fazer coisas pelas pessoas de que gostam. Um engenheiro social pode tentar usar seu carisma para influenciar alguém a fazer o que deseja.
  • Dar e receber: os engenheiros sociais podem dar ao seu alvo algo menor de graça. Então, eles aproveitarão o sentimento de obrigação para conseguir o que desejam.
  • Buscando endossos: as pessoas são mais propensas a fazer algo que alguém pede depois de endossar publicamente essa pessoa ou causa. Um engenheiro social pode buscar o endosso público de sua vítima e depois pedir algo.
  • Faça o que é popular: as pessoas gostam de ser populares. Um engenheiro social fará com que pareça que “todo mundo está fazendo” o que está tentando induzir um alvo a fazer.
  • Oferta escassa: os engenheiros sociais podem fazer com que o que oferecem pareça escasso ou um acordo por tempo limitado. Isso faz com que as pessoas se apressem em comprá-lo (como o papel higiênico durante o COVID-19).

 

Os cibercriminosos usarão toda e qualquer uma dessas táticas para obter acesso à rede e às informações confidenciais de uma organização. Durante e após a pandemia da COVID-19, com muitos funcionários trabalhando em casa, as empresas estão mais vulneráveis a ataques de phishing do que antes.

Tipos de ataques de phishing

Em termos simples, um ataque de phishing é um ataque de engenharia social realizado por e-mail ou alguma outra plataforma de comunicação. Esses ataques são projetados para fazer com que alguém clique em um link, baixe um anexo, compartilhe dados confidenciais ou execute alguma outra ação prejudicial.

 

Os ataques de phishing podem assumir diversas formas diferentes. Alguns exemplos comuns incluem:

 

  • Problemas de conta: uma tática comum de phishing é informar a alguém que há um problema com uma de suas contas online (Amazon, Netflix, PayPal, etc.). Quando eles correm para clicar no link e resolver o problema, o invasor coleta suas credenciais de login.
  • Compromisso de e-mail comercial, BEC (BEC): Um ataque BEC é um exemplo clássico de uso de autoridade. O invasor se fará passar por alguém importante dentro de uma organização (CEO, gerenciamento, etc.) e instruirá o alvo a realizar uma ação prejudicial, como enviar dinheiro para uma conta controlada pelo invasor.
  • Fatura falsa: o invasor pode se passar por um fornecedor que busca o pagamento de uma fatura pendente. Esse scam foi projetado para que a vítima envie dinheiro ao invasor ou para que ele baixe e abra um anexo contendo malware.
  • Documentos compartilhados na nuvem: os cibercriminosos geralmente aproveitam o compartilhamento de documentos baseado na nuvem para contornar a segurança do Office 365 e outras soluções de segurança integradas. Freqüentemente, essas ferramentas verificam se um link é legítimo, mas não verificam se o documento compartilhado não contém conteúdo malicioso. Alternativamente, um invasor pode fingir que está compartilhando um documento e mostrar uma página que exige que a vítima insira suas credenciais de login e depois as envia ao invasor.

 

Muitos desses e-mails são projetados para se parecerem com e-mails legítimos. É importante reservar um segundo para validar um e-mail antes de confiar nele.

O que procurar em um e-mail malicioso

Obviamente, os e-mails de phishing são projetados para parecerem tão plausíveis quanto possível, a fim de maximizar a probabilidade de enganar a vítima. No entanto, existem alguns sinais de alerta que apontam para um e-mail malicioso:

 

  • Endereço do remetente: os phishers geralmente usam endereços de e-mail que parecem confiáveis ou legítimos em seus ataques. Sempre verifique se há erros no endereço do remetente, mas lembre-se de que um invasor pode ter comprometido a conta real e a está usando para o ataque.
  • Saudação: A maioria das empresas personaliza seus e-mails endereçando-os ao destinatário pelo nome, mas um phisher pode não saber o nome que acompanha um endereço de e-mail específico. Se uma saudação for excessivamente genérica – como “Prezado Cliente” – pode ser um e-mail de phishing.
  • Tom e gramática: muitas vezes, um e-mail de phishing não soa bem e inclui problemas ortográficos e gramaticais. Se um e-mail parecer fora da marca para o remetente, provavelmente é malicioso.
  • Links incompatíveis: você pode verificar o destino de um link em um e-mail em um computador passando o mouse sobre ele. Se o link não chegar onde deveria, o e-mail provavelmente será malicioso.
  • Tipos estranhos de anexos: e-mails de phishing são frequentemente usados para espalhar malware. Se você receber uma “fatura” que seja um arquivo ZIP, um executável ou algo incomum, provavelmente é um malware.
  • The Push: Os e-mails de phishing são projetados para levar a vítima a fazer algo. Se um e-mail provocar um senso de urgência ou impulsionar uma ação específica, ele poderá ser malicioso.

A importância da conscientização sobre segurança de e-mail

A conscientização sobre segurança de e-mail é essencial para proteger uma organização contra ataques por e-mail. Treinar os funcionários para reconhecerem os sinais de um e-mail de phishing – especialmente os pretextos e técnicas que são atualmente populares – ajuda a reduzir a probabilidade de clicarem num link malicioso ou abrirem um anexo.

 

Também é bom ensinar os funcionários a denunciar e-mails suspeitos de phishing à equipe de TI ou de segurança da sua organização. Isso permite que eles investiguem e respondam caso algum outro funcionário caia no phishing.

 

No entanto, mesmo com o melhor programa de treinamento, ocasionalmente um e-mail de phishing terá sucesso e, em muitos casos, os recursos de segurança de e-mail na nuvem integrados à sua solução de e-mail não serão capazes de detectar o ataque. Investir em uma solução especializada de segurança de e-mail é uma boa opção para evitar que esses e-mails maliciosos cheguem aos usuários.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK