Como proteger seus colaboradores de ataques de Phishing
Os ataques de phishing são uma das maiores ameaças à segurança da informação de empresas em todo o mundo.
Mas esta preocupação é ainda maior no Brasil, líder do ranking de países latino-americanos que mais sofrem ataques de phishing.
O País ainda é o terceiro em ataques cibernéticos na América Latina (64,4%) – com a Venezuela (70,4%) e a Bolívia (66,3%) ocupando primeiro e segundo lugares, respectivamente.
Os ataques de phishing ou de engenharia social estão se tornando mais frequentes e sofisticados. Quanto mais difíceis de localizar, maiores serão as chances de ver um de seus funcionários correndo o risco de revelar informações confidenciais – como uma senha ou informações bancárias.
Entenda melhor esta ameaça e veja algumas dicas a seguir que vão ajudar a proteger sua empresa e seus colaboradores de ataques de phishing, garantindo assim a segurança da informação.
Por que os ataques de phishing são tão efetivos?
A maioria dos e-mails de phishing hoje estão muito sofisticados, se comparados àquelas já conhecidas mensagens de spam óbvias. Um exemplo bem clássico é a mensagem que pede ao usuário para atualizar os dados bancários para evitar que a conta seja desativada.
Agora estes criminosos aproveitam o volume de informações disponíveis na internet, nos sites da empresa e nas redes sociais dos usuários para criar ataques personalizados e altamente verossímeis.
Mas é importante ressaltar que os colaboradores de uma empresa não podem ser exclusivamente responsabilizados por ataques de phishing bem-sucedidos.
De acordo com uma pesquisa recente, realizada com profissionais de TI que tiveram que lidar com ataques de phishing bem-sucedidos, as soluções tradicionais de segurança nas quais a maioria das organizações confia também estão tendo dificuldades em garantir a segurança da informação:
- 90% dos ataques de phishing bem-sucedidos ultrapassaram o antivírus e a filtragem de e-mails da vítima;
- 83% ignoraram o(s) firewall(s) da vítima;
- 55% foram bem-sucedidos, mesmo quando a vítima realizou algum tipo de treinamento sobre conscientização de segurança da informação.
Os ataques de phishing estão, claramente, capitalizando uma grande lacuna na segurança – e sua empresa precisa proteger-se o mais rápido e da forma mais eficaz possível.
O ideal é investir em uma solução que forneça uma camada adicional de proteção, baseada em comportamento, em tempo real. Os especialistas da Compugraf podem oferecer um suporte eficaz nesta questão.
Além da tecnologia, é preciso também abordar o problema do ponto de vista de gestão de pessoal. Como, por exemplo, em casos de ataques de phishing sob a forma de solicitações urgentes de um dos executivos de alto escalão de sua empresa. É difícil culpar usuários não treinados por serem enganados com ações deste tipo.
Descubra como resolver este tipo de problema no tópico a seguir.
Como preparar os funcionários para evitar ataques de phishing?
A melhor maneira de evitar um ataque por malware é garantir em primeiro lugar que ele não seja acionado. Para isso, sua empresa precisa treinar o olhar de seus colaboradores sobre seu nível de vulnerabilidade – e como eles devem proceder, de forma ativa, a respeito.
Listamos abaixo três dicas que vão fornecer aos seus funcionários algumas ferramentas e os conhecimentos necessários para se protegerem melhor – assim como a segurança da informação em sua empresa.
1) Exemplos reais de phishing
Pode parecer complicado pedir que seus colaboradores fiquem atento aos ataques de phishing se eles não souberem exatamente o que é e suas implicações para os negócios.
Promova treinamentos e divulgue informações sobre como os e-mails de phishing realmente se parecem, compartilhando exemplos da vida real e apontando os pontos de atenção.
Dessa forma é possível não só explicar táticas de phishing de uma maneira muito mais didática, fornecendo recursos visuais, mas também ajudar os usuários a reconhecerem as táticas em situações reais.
Um exemplo a ser citado é o da FACC, fabricante americana de peças de avião, que sofreu um prejuízo de mais de US$ 56 milhões. Um de seus diretores, Waltar Staphan, foi vítima de um ataque de phishing por e-mail e fez uma transferência secreta de US$ 56,79 milhões, supostamente em nome do presidente.
A empresa conseguiu recuperar apenas 1/5 do valor – mas a maior parte se perdeu em contas da Eslováquia e da Ásia, assim como o emprego do Waltar.
2) Testes ocultos
Muitas pessoas aprendem melhor através de experiências reais. Converse com a equipe de TI sobre a possibilidade de simular um ataque de phishing e testar como seus colaboradores reagem.
Só tenha cuidado com a forma de conduzir este teste: se os colaboradores se sentirem parte de uma “pegadinha”, isso pode afetar o engajamento e a motivação deles junto à empresa.
A mensagem neste tipo de ação não está em mostrar o que cada um fez de errado, mas sim nas melhorias que podem ser promovidas para proteger a segurança da informação na empresa.
3) Programa de recompensas contra e-mails suspeitos
Agora que os exemplos foram mostrados – e eles saberão reconhecer ataques de phishing – é importante também passar instruções claras sobre os procedimentos a serem realizados nestas situações.
É importante fornecer um procedimento (algo como: não clique em nenhum link ou faça o download de anexos, apenas encaminhe o e-mail para a TI e exclua-o da caixa de entrada).
Mas experimente complementar esta ação com algum tipo de recompensa sempre que reportarem ataques de phishing corretamente.
Os prêmios podem ser simples, como uma mensagem do CEO compartilhando o feito com para todo o time ou um convite para almoçar com o CEO em agradecimento.
Isso pode incentivar ainda mais a atenção necessária por parte de seus colaboradores e aumentar a barreira de proteção à sua empresa.