O phishing é um golpe bem-sucedido que provavelmente veio para ficar – e só se tornar mais eficaz. Da confiança excessiva na tecnologia ao treinamento confuso e contraproducente, aqui estão seis razões pelas quais sua estratégia anti-phishing pode estar falhando.
Uma estratégia anti-phishing pode falhar por várias razões, incluindo:
Falta de conscientização do usuário:
Muitos ataques de phishing são bem-sucedidos porque os usuários não estão cientes dos sinais de alerta de um ataque de phishing, como links suspeitos, solicitações de informações pessoais ou endereços de e-mail mal escritos. Se os usuários não estiverem cientes desses sinais, eles podem clicar em links ou fornecer informações confidenciais sem perceber que estão sendo enganados.
Engenharia social sofisticada:
Afinal, os golpistas de phishing podem usar técnicas de engenharia social sofisticadas para fazer com que as vítimas confiem neles, como fazer com que os e-mails pareçam legítimos, usar endereços de e-mail que parecem confiáveis ou incluir informações pessoais nas mensagens.
Aperfeiçoamento de técnicas de phishing:
À medida que as técnicas de phishing se tornam mais avançadas, as estratégias anti-phishing precisam acompanhar essas mudanças. Isso pode ser difícil, já que os golpistas estão sempre buscando novas maneiras de enganar as pessoas.
Ameaças internas:
Embora a maioria dos ataques de phishing sejam originados externamente, é possível que os ataques venham de dentro da organização. Nesses casos, as estratégias anti-phishing tradicionais podem não ser eficazes, pois o ataque vem de alguém que já tem acesso aos sistemas e informações internas.
Falhas em sistemas de segurança:
Mesmo as organizações mais bem protegidas podem ter falhas de segurança, e os golpistas podem usar essas falhas para acessar sistemas internos e informações confidenciais. Nesses casos, as estratégias anti-phishing podem não ser eficazes, pois os golpistas já têm acesso aos sistemas e informações que estão tentando roubar.
Dessa forma, as organizações devem adotar uma abordagem de segurança em camadas, que inclua várias estratégias de segurança, para reduzir o risco de ataques bem-sucedidos de phishing.
Como funcionam as tentativas de phishing?
As tentativas de phishing são normalmente como pescar em um barril – com tempo suficiente, um malfeitor tem 100% de probabilidade de capturar uma vítima. Uma vez que eles reconhecem as organizações como habitualmente vulneráveis, eles continuarão a atingi-las e o ciclo da pesca de barris continua.
“Os malfeitores são altamente motivados e financiados com a única tentativa de serem bem-sucedidos em atrair apenas uma vítima”, diz Johanna Baum, CEO e fundadora da Strategic Security Solutions Consulting. “[No entanto], como organização, você tem a tarefa de proteger todas as vítimas em potencial.”
Negligenciar ou julgar mal a higiene da segurança de TI aumenta muito a suscetibilidade a um ataque. Mas mesmo que você esteja seguindo um protocolo imaculado, tenha oferecido treinamento aos funcionários, repetidamente lembre a equipe de verificar as comunicações suspeitas e mantenha-se atualizado sobre as últimas campanhas nefastas para enganar os incautos, sua organização é, e sempre será, vulnerável.
Aqui estão seis razões pelas quais sua estratégia anti-phishing não está funcionando.
Os ataques de phishing estão se tornando mais críveis e sofisticados
Os cibercriminosos estão continuamente desenvolvendo novas táticas para induzir as pessoas a fornecer informações confidenciais e, como resultado, os ataques de phishing estão se tornando mais sofisticados, diz Krissy Safi, diretor administrativo e líder global em testes de ataque e penetração na Protiviti.
“Muitas soluções anti-phishing usam regras estáticas para detectar ataques de phishing, que podem ser facilmente contornados por invasores usando técnicas mais avançadas”, diz Safi. “Também com a introdução do ChatGPT, haverá uma proliferação de e-mails de phishing com gramática perfeita e sem inglês quebrado, tornando ainda mais difícil identificar um e-mail de phishing enviado por um cibercriminoso.”
Com ChatGPT e versões de código aberto disponíveis para os criminosos, as comunicações roubadas de uma empresa se tornam uma panacéia para golpistas – a IA pode aprender em tempo real o que funciona e o que não funciona, aumentando as chances de um ataque encontrar um alvo disposto.
Chat GPT
O ChatGPT é um modelo de linguagem natural que é projetado para responder a perguntas e fornecer informações aos usuários. Como um modelo de linguagem natural, o ChatGPT não está diretamente envolvido na implementação de estratégias anti-phishing ou na prevenção de ataques de phishing.
No entanto, é importante notar que o ChatGPT pode ser usado por golpistas de phishing para criar mensagens e e-mails falsos que parecem legítimos. Por exemplo, um golpista pode usar o ChatGPT para gerar mensagens que pareçam ser de um banco ou de uma empresa conhecida, pedindo informações pessoais ou financeiras.
Embora o ChatGPT não esteja diretamente envolvido no fracasso das estratégias anti-phishing, ele pode ser usado como uma ferramenta pelos golpistas para criar mensagens e e-mails falsos que enganam os usuários. É importante estar ciente disso e estar atento a sinais de alerta, como links suspeitos ou endereços de e-mail mal escritos, ao receber mensagens ou e-mails que parecem ser legítimos, mas que pedem informações pessoais ou financeiras.
Então, a culpa é dos chatbots?
Mesmo sem empregar chatbots, os invasores estão se tornando mais proficientes – veja a violação de 2022 da empresa de comunicações em nuvem Twilio, por exemplo. Nesse caso, os invasores conseguiram combinar nomes de funcionários e números de telefone usando bancos de dados disponíveis publicamente. O ataque de engenharia social “conseguiu enganar alguns funcionários para que fornecessem suas credenciais”, disse Twilio em um relatório do incidente. “Os invasores usaram as credenciais roubadas para obter acesso a alguns de nossos sistemas internos, onde puderam acessar determinados dados do cliente”.
Colocando todos os seus ovos na cesta de tecnologia
Muitas organizações estão tentando resolver o problema do phishing apenas com tecnologia. Essas empresas estão comprando todas as ferramentas mais recentes para detectar e-mails suspeitos e dar aos funcionários uma maneira de denunciar e bloquear esses e-mails suspeitos, diz Eric Liebowitz, diretor de segurança da informação, Américas do Thales Group, uma empresa com sede em Paris que desenvolve dispositivos, equipamentos, e tecnologia para as indústrias aeroespacial, espacial, de transporte, defesa e segurança.
Embora fazer isso seja ótimo, no final os atores ruins sempre serão mais sofisticados, diz ele.
“Uma das grandes coisas que eu não acho que as organizações estão focando é o treinamento de seus funcionários”, diz Liebowitz. “Eles poderiam ter todas as melhores ferramentas disponíveis, mas se não treinarem seus funcionários, é aí que a coisa ruim vai acontecer.”
Embora algumas organizações tenham implantado as ferramentas certas e tenham fluxos de trabalho e processos para combater campanhas de phishing, elas não configuraram essas ferramentas de forma adequada e proativa, diz Justin Haney, executivo e líder de segurança da Avanade na América do Norte.
“Por exemplo, as ferramentas podem sinalizar e detectar um e-mail malicioso, mas não são bloqueados automaticamente”, diz ele. “Com as tecnologias SIEM [gerenciamento de informações e eventos de segurança] e SOAR [orquestração, automação e resposta de segurança], as organizações devem implantar manuais específicos em resposta a possíveis campanhas de phishing identificadas, em vez de mais trabalho manual por parte dos analistas.”
Não adotar uma estratégia holística de defesa em profundidade
Algumas organizações com estratégias anti-phishing falhadas não adotam uma estratégia holística e de defesa em profundidade, diz Haney.
“Eles podem se concentrar em tecnologias específicas – anti-phishing de e-mail, autenticação multifator, criptografia de dados, segurança de endpoint/móvel – e não olhar para outras que mitigam os riscos junto com a cadeia de cibercrime, por exemplo, detectando identidades comprometidas”, ele diz.
O problema de não implementar uma estratégia holística de defesa em profundidade e confiar apenas em um programa anti-phishing é que basta um ataque bem-sucedido para derrubar todo o sistema, diz o CISO da Lexmark, Bryan Willett. Confiar em uma abordagem de defesa baseada em e-mail ou confiar fortemente no treinamento de usuários é inerentemente falho, pois as pessoas estão propensas a cometer erros e leva apenas um para que um invasor seja bem-sucedido.
A melhor maneira de se defender contra ataques de phishing é por meio de uma abordagem de defesa em camadas, diz Willett. Isso inclui ter um bom sistema de detecção e resposta de endpoint (EDR) em cada estação de trabalho, um forte programa de gerenciamento de vulnerabilidade, permitindo autenticação multifator para cada usuário e conta de administrador, bem como implementando segmentação na LAN/WAN para limitar a propagação de um sistema infectado.
“Tomando essas precauções e implementando várias camadas de defesa, uma organização pode se proteger melhor contra um ataque de phishing”, acrescenta Willett. “Devemos assumir que o atacante terá sucesso em algum momento. Portanto, precisamos defender com essa suposição em mente, usando uma abordagem de defesa abrangente e em camadas”.
Deixar de treinar funcionários para reconhecer tentativas de phishing
Embora seja fundamental treinar os funcionários para não clicar em links ou abrir anexos em e-mails de remetentes desconhecidos, os empregadores também devem educar os funcionários sobre como reconhecer e-mails fraudulentos, diz Jim Russell, diretor de informações do Manhattanville College em Harrison, Nova York.
“Uma das coisas que falamos em nosso treinamento é a voz autêntica, que é um dos elementos mais importantes no reconhecimento de um e-mail fraudulento”, diz Russell, que também atua como CISO da instituição. “No entanto, as pessoas que se comunicam de forma pessoal e rápida por e-mail são uma das nossas falhas de segurança. Mas, felizmente, como comunidade acadêmica, a maioria de nosso pessoal escreve frases completas. E eles podem ter uma saudação padrão. Por exemplo, ‘Oi Lauren, como vai você?’ é um tipo típico de introdução. Então, se essas coisas estão faltando, há falta de autenticidade.” Os funcionários do Manhattanville College também foram treinados para encaminhar qualquer e-mail suspeito aos membros da equipe de Russell, o que determinará sua autenticidade.
O CISO da Dell Technologies, Kevin Cross, concorda que uma estratégia anti-phishing bem-sucedida precisa começar conscientizando os funcionários sobre como identificar um e-mail de phishing e entender como denunciá-lo. Essa abordagem é uma mudança da estratégia comum de “não clicar” usada por muitas empresas. Atingir uma taxa de cliques zero é uma meta impraticável e irreal, diz Cross. Em vez disso, ensinar os funcionários a relatar e-mails suspeitos permite que as equipes de segurança avaliem rapidamente a ameaça potencial e mitiguem os efeitos de outros alvos de um ataque semelhante. E as organizações podem incorporar ferramentas em suas plataformas de e-mail para tornar mais fácil para os trabalhadores relatar e-mails suspeitos, diz Cross.
Mas é o bastante?
No entanto, esse tipo de treinamento não vai longe o suficiente, diz Jacob Ansari, líder nacional de prática de PCI na prática de segurança cibernética da Mazars, uma empresa global de auditoria, impostos e consultoria. “A maioria das estratégias anti-phishing são limitadas em sua eficácia porque visam a ponta do proverbial iceberg: o comportamento do usuário”, diz ele. O treinamento de usuários para detectar ataques de phishing só é eficaz enquanto os esquemas de phishing forem distinguíveis das atividades comerciais legítimas, diz ele. Mas qualquer esforço anti-phishing é rapidamente desfeito quando se espera que os funcionários se envolvam em tipos de atividades semelhantes a esquemas de phishing.
“Por exemplo, uma empresa que exige que os usuários cliquem em um link enviado por um remetente terceirizado para concluir uma verificação de antecedentes ou se inscrever em benefícios inserindo informações pessoais em um formulário da Web hospedado em outro lugar como uma prática comercial regular diminui o valor do anti -phishing”, diz ele.
Além de treinar os usuários, Ansari diz que as organizações precisam se envolver com os líderes de negócios para reprojetar os processos de negócios para que não pareçam mais com esquemas de phishing, minimizando o uso de links de clique em e-mails e exigindo interações de terceiros com os funcionários. seguir os padrões da empresa para comunicações seguras.
“[As empresas] também precisam garantir que todas as partes do negócio, como recursos humanos, marketing e finanças, se envolvam com terceiros e com as comunicações em toda a empresa de maneira responsável, evitando as condições que permitem que os esquemas de phishing prosperem”, ele diz.
Falta de fiscalização/falta de incentivos
Mesmo que uma empresa tenha um forte programa e política de treinamento em vigor, pode não ser eficaz se não houver consequências para os funcionários que violarem a política, diz Safi. Por exemplo, se um funcionário cair em um e-mail de phishing e não denunciá-lo, deve haver consequências para incentivar um comportamento melhor no futuro.
No Manhattanville College, os funcionários que caem em e-mails de phishing devem concluir um determinado número de sessões de treinamento online em 10 dias, diz Russell. Se eles apenas clicarem em um link, eles terão apenas uma sessão de treinamento; no entanto, se eles realmente fornecerem suas credenciais, deverão preencher três.
“Também reviso a lista de pessoas que caíram em uma tentativa de phishing e identifico as pessoas que têm privilégios aprimorados, como um vice-presidente”, acrescenta Russell. “E eles têm cerca de cinco minutos na área comigo. Eu digo a eles que não há Convenção de Genebra para protegê-los. Eu também acompanho os infratores reincidentes e aqueles que falharam no treinamento e eles também ganham cinco minutos na área de pênaltis comigo e temos uma daquelas conversas estranhas.”
Demasiada confiança em testes de phishing simulados
Outro calcanhar de Aquiles atual de uma estratégia anti-phishing é que algumas empresas pretendem treinar os usuários para serem 100% infalíveis, diz Sushila Nair, chefe de serviços de segurança cibernética da Capgemini. “Existe uma premissa amplamente aceita de que os usuários finais são os culpados quando caem em ataques de phishing”, diz ela. “No entanto, as organizações devem se perguntar: ‘Estamos realmente olhando e nos medindo em relação a um valor que diz que devemos almejar que 100% de nossos usuários não caiam em um teste de phishing simulado?’”
Se o teste for sofisticado, mais falharão. E se o teste for bastante fácil, todos passarão com louvor, acrescenta ela. A atração de apresentar métricas aprimoradas de infalibilidade do usuário nas reuniões do conselho pode ser tentadora para alguns CISOs; no entanto, os líderes devem aceitar que uma pequena porcentagem de usuários clicará em links, não importa o quanto suas empresas os treinem – e em tempos estressantes, esse número aumentará.
A naturalização do phihing
Pior ainda, muitas organizações executam testes simulados de estratégia anti-phishing que normalizam o clique em links, diz Nair. “Você clica em um link e ele pode levá-lo a um portal que diz ‘Bem, caramba, você foi enganado’”, diz Nair. Mas forçar os usuários a fazer o treinamento como parte da simulação tem o efeito inverso – é mais provável que eles cliquem nos links. Ser jogado no treinamento porque clicou em um link durante um dia agitado e estressante ensina a maioria dos usuários a odiar as sessões de treinamento e a concluí-las – sem prestar atenção – o mais rápido possível, acrescenta Nair.
“Isso não apenas tem esse efeito, mas também afeta a maneira como o usuário pode reagir a e-mails de phishing”, diz ela. “Eles não vão clicar em um e-mail estranho porque acham que é um teste, mas também não vão denunciá-lo.”
O ponto principal é que os programas anti-phishing geralmente falham porque as pessoas são falíveis. As pessoas cometem erros, apesar do treinamento e de seus melhores esforços, diz Elizabeth Shirley, advogada e copresidente da equipe de segurança cibernética e privacidade de dados da Burr & Forman LLP. “As pessoas também são emocionais e muitas vezes têm uma reação instintiva a e-mails de phishing que criam um senso de urgência ou necessidade”, diz ela. “Essas circunstâncias não vão mudar. E os e-mails de phishing continuarão, pelo menos no futuro próximo.”
Como melhorar sua estratégia anti-phishing?
Existem várias maneiras de melhorar uma estratégia anti-phishing, incluindo:
Conscientização e treinamento dos usuários:
É fundamental que os usuários estejam cientes dos sinais de alerta de um ataque de phishing e saibam como reportar qualquer atividade suspeita. As empresas devem fornecer treinamento regular para todos os funcionários e realizar campanhas de conscientização sobre segurança cibernética para ajudar a garantir que todos os usuários estejam preparados.
Implementação de autenticação de e-mail:
A autenticação de e-mail, como o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM), pode ajudar a reduzir o número de e-mails de phishing que chegam às caixas de entrada dos usuários, garantindo que os e-mails legítimos sejam identificados como tal.
Uso de filtros de e-mail:
Os filtros de e-mail podem ajudar a bloquear e-mails de phishing antes que cheguem às caixas de entrada dos usuários. Esses filtros usam inteligência artificial e aprendizado de máquina para identificar e-mails de phishing com base em vários fatores, como o remetente, o assunto e o conteúdo da mensagem.
Verificação de links e anexos:
É importante que os usuários verifiquem cuidadosamente os links e anexos antes de clicar ou baixar. As empresas podem usar ferramentas de verificação de links e anexos para identificar links maliciosos e anexos infectados antes que sejam abertos.
Monitoramento e resposta a incidentes:
É muito importante que as empresas monitorem continuamente suas redes e sistemas em busca de atividades suspeitas e respondam rapidamente a quaisquer incidentes de segurança que ocorram. Isso pode ajudar a limitar os danos e reduzir a exposição a ataques de phishing.
Atualização constante de softwares e sistemas:
As empresas devem garantir que todos os softwares e sistemas estejam atualizados com as versões mais recentes para evitar vulnerabilidades de segurança conhecidas que possam ser exploradas por golpistas de phishing.
Não há uma única estratégia anti-phishing que seja considerada a melhor para todos os cenários. A abordagem ideal para a prevenção de ataques de phishing pode variar dependendo das necessidades e requisitos específicos de cada organização.
No entanto, uma estratégia abrangente de prevenção de phishing geralmente envolve uma combinação de técnicas e tecnologias.
Terceirizar a TI ajuda?
A terceirização da TI pode ajudar na estratégia anti-phishing, desde que seja feita com cuidado e considerando a segurança cibernética como um fator importante. Uma empresa terceirizada de TI pode fornecer expertise e recursos adicionais para implementar estratégias de segurança cibernética, incluindo prevenção de ataques de phishing.
No entanto, é importante lembrar que, ao terceirizar a TI, a empresa deve garantir que a terceirizada siga as melhores práticas de segurança cibernética e tenha controles rigorosos em vigor para proteger os dados e sistemas da empresa. A terceirização não deve ser vista como uma solução única para a prevenção de ataques de phishing, mas como uma parte de uma estratégia geral de segurança cibernética.
A empresa deve ter um plano de gerenciamento de riscos bem definido e implementar controles de segurança adequados, incluindo a verificação do histórico de segurança da terceirizada de TI e a assinatura de acordos de confidencialidade e segurança para garantir a proteção dos dados da empresa. Além disso, a empresa deve realizar auditorias regulares para garantir que as práticas de segurança cibernética estejam sendo seguidas adequadamente pela terceirizada.
Em resumo, a terceirização da TI pode ajudar na estratégia anti-phishing, desde que seja feita com cuidado e considerando a segurança cibernética como um fator importante. A empresa deve garantir que a terceirizada de TI siga as melhores práticas de segurança cibernética e implementar controles de segurança adequados para proteger seus dados e sistemas.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas, incluindo estratégia anti-phishing. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto. Mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.