10 MANEIRAS DE PROTEGER EXECUTIVOS SENIORES DE ATAQUES DE PHISHING – O CASO XOOM

Em janeiro de 2015, as ações da Xoom caíram 17% após a notícia de que eles perderam US$ 30,8 milhões em um golpe de comprometimento do e-mail comercial, um tipo de golpe de phishing. Em 21 de março de 2017, a presa foi a Evaldas Rimasauskas. O hacker que se passou por um fornecedor asiático roubou o Facebook e o Google em mais de US$ 100 milhões.

Se isso pode acontecer com eles, imagina com você!

Antes de abordarmos como você pode proteger sua empresa, vamos dissipar alguns mitos.

Pare de procurar palavras-chave como “príncipe nigeriano” e gramática incorreta. Os hackers de hoje montam empresas de fachada e fingem ser subsidiárias de empresas que você conhece.

Os ataques de phishing são sofisticados. Depois de pesquisar extensivamente sua empresa e a gerência sênior, um ator ruim cria um e-mail projetado para fazer você responder. Seja pagando uma fatura a um fornecedor falso, baixando malware mascarado como boletim informativo da empresa ou digitando sua senha de e-mail em um formulário que se parece exatamente com o formulário de login do Gmail. Até você verificar a URL, a mensagem parece normal.

Não presuma que ataques de phishing só ocorrem por e-mail. Os hackers usam mensagens do Facebook, WhatsApp e DMs do Twitter. Se você usá-los para se comunicar, o usarão para enganá-lo. Eles até falsificam o número de telefone do seu CFO e enviam links maliciosos via SMS.

Dito isso, aqui estão nossas dez principais maneiras de impedir que ataques de phishing afetem negativamente sua organização – e comece a usar as mensagens criptografadas hoje.

1. Altere seus canais de comunicação interna.

Hoje o e-mail domina as comunicações no local de trabalho. Sua popularidade nos torna alvos fáceis para golpistas.

A implementação de um aplicativo de colaboração e comunicação segura para toda a organização, com mensagens integradas e compartilhamento de arquivos, oferece aos funcionários canais de comunicação adicionais que eles podem usar em vez de e-mail.

Ao integrar a nova solução em seus fluxos de trabalho diários, você fará a transição gradual das comunicações internas, incluindo trocas de arquivos e discussões em grupo, para a nova plataforma, deixando o e-mail para comunicações externas.

Ao limitar as comunicações internas da empresa por e-mail, você torna os atacantes que afirmam ser seu CEO ou COO mais fáceis de localizar, relatar e segmentar com seus filtros de spam.

2. Mantenha as comunicações da empresa nos canais controlados pela empresa.

Sua equipe de TI não controla o WhatsApp, o Gmail ou o Skype. Eles não os protegem. Quando ocorre uma violação de dados, eles podem nem saber que os dados da empresa foram comprometidos. Para as empresas da UE, esses aplicativos de TI sombrios são o pesadelo do GDPR. Para todos os outros, feche os olhos e imagine a má imprensão se a violação de dados comprometer seus clientes pagantes.

Ao implantar suas próprias soluções de comunicação e colaboração, você pode fornecer uma alternativa atraente para aplicativos inseguros do consumidor. A implementação de políticas adicionais, incluindo a proibição de aplicativos de alto risco nos dispositivos da empresa, reduzirá ainda mais a disseminação da TI sombria no seu local de trabalho e manterá as comunicações em canais seguros.

3. Use autenticação multifator.

A autenticação multifator é uma dor. Nós não vamos mentir. Detestamos abrir nosso aplicativo autenticador, aguardar a atualização do código e correr para digitá-lo antes que ele mude de novo. Do ponto de vista da usabilidade, os códigos SMS não são os melhores.

No entanto, a autenticação multifator serve como uma barreira adicional entre sua conta e um ator ruim. Se alguém adquirir suas informações de login, ele não poderá acessar sua conta sem esse código.

4. Ensine os bons hábitos de e-mail para seus funcionários e aprenda a reconhecer links maliciosos.

Seus funcionários sabem a diferença entre linkedin.com e linkedin1.com? O primeiro é legítimo. Criamos o último, mas mostra como um invasor pode exigir um domínio semelhante e usá-lo para induzir seus funcionários a clicar em um link.

Com o treinamento adequado, seus funcionários reconhecerão mais prontamente links falsos, endereços de e-mail e anexos maliciosos.

Se possível, use um aplicativo de colaboração com compartilhamento de arquivos para eliminar anexos de e-mail no local de trabalho. Se o seu CEO não envia documentos por e-mail e o COO recebe um e-mail supostamente do seu CEO com um anexo, não é do seu CEO.

Após o treinamento, instrua a equipe de TI a realizar ataques aleatórios de phishing contra sua organização.

Esses ataques ajudam seus funcionários a aplicar seu treinamento de prevenção de ataques de phishing no mundo real com risco mínimo e feedback construtivo. Eles também permitem que você adapte ainda mais seu programa de treinamento aos níveis de habilidades e necessidades de seus funcionários.

5. Desative e-mails em HTML.

Os e-mails HTML lindamente formatados apresentam uma vulnerabilidade adicional ao seu local de trabalho porque o design oculta as coisas. Imagens de pixel único incorporadas no e-mail acompanham quando seus funcionários abrem e-mails e até registram seus endereços IP.

Além disso, os links e o texto do link nem sempre correspondem, mesmo quando o texto do link começa com https. Isso faz com que links maliciosos pareçam legítimos.

E-mails bonitos simplesmente não valem o risco.

6. Aplique uma política de senha forte.

Implemente e aplique políticas de senha como desativar as 10.000 senhas mais usadas, exigindo que todos os usuários alterem suas senhas regularmente e exigindo que todas as senhas tenham pelo menos oito caracteres – melhor ainda, 14 – e incluam caracteres complexos. As políticas mínimas de idade e histórico de senhas impedem que os funcionários alterem sua nova senha novamente para a antiga.

Embora essas políticas ajudem a proteger a organização, são pontos problemáticos para seus funcionários. Até que – e a menos que – mais fornecedores de software e hardware implementem login sem senha por meio de chaves físicas ou outras tecnologias imersivas, você não pode consertar isso.

Dito isso, incentivá-los a usar no gerenciador de senhas aprovado pela TI com autenticação multifatorial que criptografa todos os logons armazenados facilitará a vida de seus funcionários e ajudará a minimizar as reclamações sobre sua política de senha draconiana.

7. Proteja sua senha.

Trate suas senhas como você faz as chaves do seu carro, casa e cofre. Se uma pessoa aleatória andasse até você na rua e pedisse as chaves da sua casa, você diria que não. O mesmo se aplica quando você recebe um e-mail solicitando que você clique no link para redefinir sua senha e quando um provedor de serviços solicita seu endereço de e-mail e a senha desse endereço. É aqui que o treinamento entra em jogo.

Digamos que um e-mail solicite que você redefina sua senha do GSuite. No mês passado, você alterou sua senha conforme indicado pela TI. Você não solicitou um link para alterar sua senha. Você deve clicar no link? Absolutamente não.

Encaminhe esta mensagem suspeita para a TI. Você também pode ligar para o telefone e perguntar se precisa redefinir sua senha.

8. Limite o que sua empresa compartilha nas mídias sociais.

Ataques sofisticados de phishing geralmente utilizam informações sobre sua empresa que as fazem parecer legítimas.

Por exemplo, o marketing escreve sobre o próximo piquenique da empresa na página pública do Facebook da sua organização. Um invasor vê a publicação e envia ao seu CFO uma mensagem supostamente do seu CEO sobre o piquenique da empresa. Nome certo, gramática adequada e menciona o piquenique programado para a próxima semana: parece real. Seu CFO baixa a planilha anexada.

Se sua equipe de marketing usa postagens como essa para dar à sua empresa um rosto amigável, incentive-a a postar após o evento, não antes. As informações pré-evento pertencem à intranet e no aplicativo de mensagens da sua empresa, não no Facebook.

9. Desencoraje o uso de contas de e-mail pessoais.

É sexta à noite. A apresentação da gerência sênior de segunda-feira ainda precisa de um pouco de polimento e você precisa praticar. Você abre o Outlook e envia por e-mail para sua conta pessoal.

Parabéns! Você acabou de enviar informações corporativas confidenciais para fora do guarda-chuva de segurança da sua organização.

Você não alterou sua senha de e-mail pessoal nos últimos dez anos. É o seu aniversário e as iniciais do contrário – fácil de lembrar para você, seu ex e seus filhos. Quando o Gmail pediu para ativar a autenticação de dois fatores, você desativou o aviso. As informações dessa apresentação são tão seguras quanto a sua conta de e-mail pessoal.

O guarda-chuva de segurança da sua organização não pode proteger você ou sua empresa se você agir deliberadamente.

Em vez de enviar dados confidenciais por e-mail para contas pessoais, implemente unidades compartilhadas criptografadas e compartilhamento de arquivos. Deixe seus funcionários continuarem trabalhando sem comprometer sua segurança.

10. Faça da gerência sênior o rosto das políticas de segurança cibernética da sua empresa.

Não basta entregar um manual e dizer que essas são as novas políticas.

Sem acompanhamento, realizar uma aula de prevenção de ataques de phishing é apenas mais uma oportunidade para fofocas nos corredores. Punir os funcionários por não conformidade não é propício à colaboração e pode criar um ambiente de trabalho tóxico. Também não há garantia de que a punição mude seu comportamento. A conveniência geralmente supera as consequências.

Você precisa de defensores da segurança cibernética, que cantam elogios do seu aplicativo de compartilhamento de arquivos colaborativo e compartilham voluntariamente suas próprias experiências com e-mails suspeitos e como suas políticas os ajudam a proteger sua organização e a si mesmos.

Quando um funcionário chega reclamando de senhas malucas que ninguém consegue se lembrar, essa pessoa fala sobre um gerenciador de senhas aprovado pela TI e aponta para um guia de instruções.

Esses advogados não são sua equipe de suporte técnico, secretários ou outra equipe de suporte. Eles são seu CEO, COO, CFO, Presidente do Conselho e vice-presidentes executivos.

Eles lideram pelo exemplo e mostram que suas políticas de segurança cibernética não permitem exceções, tratamento especial ou desculpas.

Como as organizações mais alvos de phishing de alto valor, todas elas recebem treinamento abrangente para identificar e-mails e mensagens suspeitos e como se proteger na era digital.

Quando um funcionário relata uma tentativa suspeita, ele recebe um agradecimento do CEO. Se um funcionário ligar para a TI em pânico porque baixou um anexo mal-intencionado, o escritório dos CIOs deve entrar em contato com eles após a resolução do incidente. Pergunte se eles se sentiram confortáveis ​​com a forma como a equipe de TI lidou com o evento e por que clicaram no anexo. Explique que você está pedindo para melhorar sua resposta e o treinamento futuro.

Em 2017, o Google emitiu chaves de segurança física necessárias para que todos os seus mais de 85.000 funcionários as usem. Desde a implementação das chaves, eles relataram zero ataques bem-sucedidos de phishing envolvendo contas de funcionários comprometidas.

Proteger sua organização e, principalmente, seus executivos seniores contra ataques de phishing é uma batalha em constante mudança.

Você não pode prever todas as vias de ataque ou mesmo evitar erros humanos. No entanto, com políticas sólidas de segurança cibernética, bom treinamento de funcionários, aplicativos seguros de comunicação e colaboração e advogados incríveis, você pode reduzir o risco de um ataque bem-sucedido de phishing.

Compartilhe:

Você tem o direito à privacidade.
O nosso dever é preservá-la.