Como proteger seu negócio contra phishing e engenharia social

Por mais que você tenha consciência sobre os riscos dos ataques cibernéticos e conte com uma boa estrutura de cibersegurança, sua empresa ainda pode ser vítima de ações como phishing e engenharia social.

Isso ocorre porque esse tipo de investida dos cibercriminosos é baseada não apenas nos recursos tecnológicos, mas também no envolvimento das pessoas.

Sendo assim, você precisa se defender contra esses ataques a partir de um conjunto multicamadas de mitigações empregadas para melhorar a resiliência da sua empresa.

Uma estratégia bem elaborada vai minimizar as interrupções nos processos e procedimentos e garantir que a produtividade da sua equipe não seja prejudicada.

Para que sua defesa seja realmente eficaz, deve haver uma combinação entre as abordagens baseadas em tecnologias, processos e pessoas.

Ao longo dos próximos tópicos, vamos retomar os conceitos de phishing e engenharia social e explicar como você pode montar uma estratégia de defesa eficiente contra esses ataques.

Continue a leitura!

O que é phishing e engenharia social?

Ataques de phishing e engenharia social ocorrem quando os invasores tentam induzir os usuários a fazer "a coisa errada", como clicar em um link malicioso que fará o download de malware ou direcioná-los para um site duvidoso.

Na verdade, o phishing pode ser tomado como um tipo de engenharia social, sendo a categoria mais utilizada pelos cibercriminosos.

A engenharia social engloba todos os recursos utilizados para fazer com que o próprio colaborador forneça o acesso indevido a dados pessoais ou da empresa.

O phishing, mais especificamente, tem como foco a inserção do malware em um dispositivo ou software da empresa a partir de uma ação do colaborador.

Esse tipo de ataque pode ser conduzido por mensagem de texto, mídia social ou telefone, mas a expressão “phishing” é usada principalmente para descrever ataques que chegam por e-mail.

Os e-mails de phishing e engenharia social podem atingir milhões de usuários diretamente e se esconder entre o grande número de e-mails benignos que os colaboradores recebem.

Os ataques podem instalar malware (como ransomware), sabotar sistemas ou roubar propriedade intelectual e dinheiro.

E-mails de phishing podem atingir organizações de qualquer tamanho e segmento. Portanto, seja qual for a realidade da sua empresa, ela não está imune aos esforços dos cibercriminosos.

Você pode, por exemplo, ser vítima de uma campanha em massa, em que o cibercriminoso está procurando coletar novas senhas ou ganhar algum dinheiro fácil.

Mas os ataques de engenharia social também podem ser o primeiro passo em uma ação direcionada especificamente contra a sua empresa.

Nesse caso, o objetivo pode ser algo muito mais focado, como o roubo de dados confidenciais ou de propriedade intelectual.

Em uma campanha direcionada, o invasor pode usar informações sobre seus funcionários ou empresa para tornar suas mensagens ainda mais persuasivas e realistas. Isso geralmente é chamado de spear phishing.

Em ambos os casos, você pode contar com recursos focados na prevenção do impacto desse tipo de ataque sobre o seu negócio.

Por que utilizar uma abordagem multicamadas para se proteger contra phishing e engenharia social?

As defesas típicas contra phishing e engenharia social geralmente dependem exclusivamente da capacidade dos usuários de identificar os e-mails maliciosos.

Esta abordagem só pode ser bem sucedida até certo ponto. Por isso, você deve ampliar suas defesas para incluir medidas mais técnicas.

Isso vai melhorar sua resiliência contra esses ataques sem interromper a produtividade de seus usuários.

Assim, você terá várias oportunidades para detectar um ataque de engenharia social e interrompê-lo antes que ele cause danos.

Vamos esmiuçar nos próximos tópicos os detalhes sobre essa abordagem multicamadas para que você construa sua estratégia de defesa adequadamente.

As orientações se dividem em quatro camadas de mitigações que vão:

• Dificultar o acesso dos invasores aos seus usuários;
• Ajudar os colaboradores a identificar e relatar e-mails suspeitos de phishing e engenharia social;
• Proteger sua organização contra os efeitos de e-mails de phishing não detectados;
• Responder rapidamente a incidentes.

É claro que algumas das sugestões podem não ser viáveis ​​no contexto específico da sua empresa.

Mas, se você não puder implementar todas, tente abordar pelo menos algumas das atenuações de cada uma das camadas. Vejamos cada uma delas.

1ª camada: dificultar o acesso dos invasores aos seus usuários

Essa camada engloba todas as defesas capazes de dificultar o acesso dos invasores até mesmo aos seus usuários finais.

Sendo assim, o principal cuidado a ser tomado é não deixar que seus endereços de e-mail sejam um recurso de atuação dos invasores.

Como mencionamos, os cibercriminosos fazem com que as mensagens de phishing e engenharia social se passem por e-mails confiáveis.

Ou seja, essas mensagens que têm o intuito de ludibriar o usuário tornam-se parecidas com as enviadas por organizações respeitáveis, como a sua empresa.

Esses e-mails falsificados podem ser usados ​​para atacar seus clientes ou os próprios colaboradores de sua organização.

Para dificultar esse tipo de ação, você deve recorrer aos controles anti-spoofing, como DMARC, SPF e DKIM, além de incentivar seus contatos a fazerem o mesmo.

Outra medida importante que integra esta primeira camada é a redução das informações disponíveis para os invasores.

Os cibercriminosos se aproveitam das informações disponíveis publicamente sobre sua empresa e seus usuários.

Elas são conhecidas como pegadas digitais e tornam as mensagens de phishing e engenharia social mais convincentes.

Os invasores buscam essas informações em seu site e em contas nas mídias sociais, por isso, é importante ficar atento sobre quais dados são realmente necessários para os visitantes das suas páginas.

Descubra exatamente a quais informações os usuários precisam ter acesso e quais detalhes podem se tornar úteis para os invasores.

Isso é particularmente importante para membros de alto perfil de sua organização, pois essas informações podem ser usadas para criar os chamados ataques de baleação personalizados.

Trata-se de um tipo de spear phishing que visa abordar pessoas com grande importância estratégica dentro da empresa, como um membro do conselho com acesso a ativos valiosos, por exemplo.

Ajude sua equipe a entender como o compartilhamento de suas informações pessoais pode afetá-la e à sua organização e desenvolva uma política de pegada digital clara para todos os usuários.

Além disso, é importante manter-se ciente sobre o que seus parceiros, contratados e fornecedores divulgam sobre sua organização online.

Também é fundamental verificar todos os e-mails recebidos em busca de spam, malwares ou links de phishing e engenharia social.

Você pode filtrar ou bloquear esses e-mails antes que eles cheguem aos seus usuários. Isso não apenas reduz a probabilidade de um incidente de phishing, mas também diminui a quantidade de tempo que os usuários precisam gastar verificando e relatando e-mails.

Seu serviço de filtragem e bloqueio pode ser um serviço integrado de um provedor de e-mail baseado em nuvem ou um serviço sob medida para seu próprio servidor de e-mail.

Essa filtragem idealmente deve ser feita no servidor, mas também pode ser realizada nos dispositivos do usuário final, ou seja, no cliente de e-mail.

2ª camada: ajudar os usuários a identificar e relatar e-mails suspeitos de phishing e engenharia social

Esta camada abrange as ações de orientação da sua equipe para a detecção de e-mails de phishing e engenharia social, além das iniciativas destinadas a melhorar sua cultura de relatórios.

Assim, em primeiro lugar, é preciso considerar cuidadosamente sua abordagem ao treinamento de phishing e engenharia social.

Em uma estratégia tradicional de defesa contra esse tipo de ciberataque, as simulações de recebimento de mensagens de phishing costumam ser enfatizadas.

Mas é preciso considerar que os seus colaboradores não podem compensar as deficiências de segurança cibernética em outro lugar.

Responder a e-mails e clicar em links são ações muito presentes no cotidiano do trabalho moderno. Por isso, não é realista esperar que os usuários permaneçam vigilantes o tempo inteiro.

Os conselhos fornecidos em muitos pacotes de treinamento, com base em avisos e sinais padrão, ajudarão seus usuários a identificar alguns e-mails de phishing, mas não podem ensinar a identificar todos eles.

Sendo assim, você nunca deve castigar os usuários que estão lutando para reconhecer e-mails de phishing.

Colaboradores que temem represálias vão acabar não relatando os erros prontamente, se é que o farão em algum momento.

Os treinamentos devem estimular o engajamento de seus usuários nos relatos de incidentes futuros e demonstrar que não há problemas em solicitar mais suporte quando algo parecer suspeito.

Certifique-se de que seus usuários entendam a natureza da ameaça representada por ataques de phishing e engenharia social, principalmente os departamentos que podem ser mais vulneráveis.

Além disso, você também pode facilitar o reconhecimento de solicitações fraudulentas pelos seus usuários. Os invasores costumam explorar processos para induzi-los a entregar informações ou fazer pagamentos não autorizados.

Considere quais processos podem ser imitados pelos invasores e como revisá-los e aprimorá-los para que os ataques de phishing e engenharia social sejam mais facilmente detectados.

Você deve se certificar de que os colaboradores estejam familiarizados com as formas normais de trabalho para tarefas importantes, como os pagamentos, por exemplo. Assim, eles estarão bem equipados para reconhecer solicitações incomuns.

Outra ação relevante é a verificação de todas as solicitações de e-mail importantes a partir de um segundo tipo de comunicação, como mensagem SMS ou um telefonema.

3ª camada: proteger a empresa contra os efeitos de e-mails de phishing e engenharia social não detectados

Como não é possível interromper todos os ataques, esta camada é destinada a minimizar o impacto de e-mails de phishing e engenharia social não detectados.

A primeira ação a ser colocada em prática nesse sentido é proteger seus dispositivos contra os malwares.

O malware geralmente está oculto em e-mails de phishing e engenharia social ou em sites aos quais eles se vinculam.

Assim, dispositivos bem configurados e boas defesas de endpoint podem impedir a instalação do malware, mesmo que o usuário clique no link do e-mail.

Há muitos tipos de defesas contra malwares e você precisará considerar suas necessidades de segurança e formas de trabalhar para garantir uma boa abordagem.

Para colocar essa estratégia em prática, você deve se certificar de que os seus softwares e dispositivos estejam sempre atualizados com os patches mais recentes.

Evite que os usuários instalem acidentalmente malwares de um e-mail de phishing, limitando as contas de administrador àqueles que realmente precisam desses privilégios.

Você também deve proteger os usuários do acesso a sites maliciosos. Os links para esses sites são uma parte importante em e-mails de phishing e engenharia social.

Porém, se o link simplesmente não abrir o site, o ataque não poderá acontecer. Inclusive, a maioria dos navegadores modernos e atualizados já bloqueia sites conhecidos de phishing.

Mas as organizações devem executar um serviço de proxy, internamente ou na nuvem, para bloquear qualquer tentativa de acesso a sites identificados como hospedeiros de malware ou campanhas de phishing e engenharia social.

Além de tudo isso, suas contas devem contar com autenticação e autorização eficazes, já que as senhas também são um alvo importante para os invasores.

Assim, você precisa tornar seu processo de login para todas as contas mais resistentes, com autenticação multifator, e limitar o número de contas com acesso privilegiado ao mínimo possível.

4ª camada: responder rapidamente a incidentes

Qualquer organização pode se deparar com um incidente de segurança digital em algum momento, sobretudo quando se trata de phishing e engenharia social.

Portanto, verifique se você tem condições de detectá-lo rapidamente e responder de maneira planejada. Saber o quanto antes sobre um incidente permite limitar o dano que ele pode causar.

Então, certifique-se de que os usuários saibam com antecedência como relatar incidentes, considerando que eles podem não conseguir acessar os meios normais de comunicação se o dispositivo estiver comprometido.

Use também um sistema de registro de segurança para detectar incidentes dos quais seus usuários não estão cientes.

Para coletar essas informações, você pode usar ferramentas de monitoramento incorporadas aos seus serviços prontos para uso, criar uma equipe interna ou contratar um serviço de monitoramento de segurança gerenciado.

Além de tudo isso, é fundamental contar com um plano de resposta a incidentes, para que sua equipe saiba o que fazer para evitar os danos o mais rápido possível.

Esse plano deve informar questões práticas como, por exemplo, como você forçará uma redefinição de senha se a senha for comprometida.

Os planos de resposta a incidentes devem ser praticados antes que um incidente ocorra. A melhor maneira de fazer isso é através do exercício.

Concluindo

Com as ações componentes das quatro camadas citadas aqui, você conseguirá preparar melhor sua empresa para lidar com ataques de phishing e engenharia social.

Mas se você ainda não conta com uma estratégia avançada de segurança cibernética capaz de cobrir os mais variados tipos de ataques, você pode utilizar a regra de pareto.

Esse princípio diz respeito à ideia de que 20% do esforço dedicado ao alcance de um objetivo são responsáveis por 80% do desempenho obtido.

Isso significa que 20% das ações que você colocar em prática para evitar os ataques cibernéticos serão responsáveis por evitar 80% das investidas mal intencionadas contra a sua empresa.

Para saber mais sobre a regra de pareto e aplicá-la à sua estratégia de proteção contra phishing e engenharia social, leia o artigo “Princípio de Pareto: como utilizar a regra 80/20 na cibersegurança”.