Como já escrevi em vários artigos aqui no blog, é de extrema importância conscientizar os colaboradores sobre segurança da informação e principalmente sobre phishing. É importante que todos aprendam ao menos o básico sobre como ficar seguro online. No entanto, segundo uma pesquisa da Tessian, dois terços dos funcionários não são treinados regularmente sobre ameaças cibernéticas. E a maior parte daqueles que são treinados não lembra o que foi ensinado. Então, como o treinamento pode realmente impedir que as pessoas caiam em ataques de phishing?
Para quem não conhece, ataques de phishing são ameaças nas quais o criminoso finge ser uma entidade confiável para enganar um alvo para clicar em um link malicioso, compartilhar credenciais ou transferir dinheiro.
Em outro artigo já falamos mais sobre como um único e-mail de phishing pode custar meio milhão de reais para uma empresa.
Funcionários não sabem detectar ameaças no e-mail
A porta de entrada número um de ameaças nas empresas é o e-mail. Como um bom gestor ou analista de TI, você entende que conscientizar os colaboradores sobre segurança de e-mail e phishing é importante para a organização. Porém, a pesquisa revela que apenas um terço das empresas fornecem algum treinamento ou curso sobre segurança na utilização dos e-mails.
Além disso, boa parte dos funcionários pesquisados disseram que não sabem identificar um ataque de phishing ou o que fazer se receberem um e-mail suspeito.
Isso é muito preocupante, pois 95% de todos os ataques às empresas são resultados de phishing, chegando a um aumento de 76% em relação ao ano passado. Ainda mais com a onda de spear phishing, um tipo de ataque muito mais sofisticado e que é direcionado a um indivíduo ou organização específica.
Sem treinamento e conscientização sobre essas ameaças, como as empresas podem esperar que os funcionários identifiquem e-mails maliciosos e mantenham a organização segura em 100% do tempo?
Quais os principais alvos na indústria?
As instituições de caridade e ONGs são os mais expostos e vulneráveis, pois normalmente não tem preocupação em conscientizar os colaboradores para combater os ataques cibernéticos, como ataques de phishing. Logo, os criminosos não deixam passar batido, pois sabem muito bem sobre a quantidade de dados valiosos que estas instituições possuem, como dados pessoais e informações financeiras de doadores – que incluem indivíduos de alta renda e marcas conhecidas.
No entanto, este setor não está sozinho em negligenciar treinamento em segurança da informação. Segundo a pesquisa, os setores de educação (Escolas e Universidades) e empresas de engenharia também são alvos constantes dos criminosos. Isso explica o baixo percentual de funcionários (30%) que tiveram algum treinamento para defesas contra ataques cibernéticos.
Com tanto em jogo e com a ameaça de spear phishing aumentando, a segurança da informação precisa ser fundamental na estratégia de cibersegurança de qualquer empresa. A educação e treinamentos sobre as ameaças são fundamentais para ajudar na detecção de emails e sites maliciosos.
Mas até que ponto treinar realmente resolve o problema?
Entendemos que o treinamento é importante e que ajuda bastante os seus funcionários a detectarem ameaças, se feito regularmente e não uma vez a cada ano. Mas precisamos aceitar também sobre o fato de que os ataques cibernéticos estão em constante evolução.
Um ataque de spear phishing, por exemplo, pode ser muito sofisticado para que uma pessoa possa identificar. Nestes, os criminosos terão como alvo um indivíduo e tentam se passar por um contato confiável da rede da empresa, para tentar persuadir e cumprir com seus objetivos.
De modo geral, existem três categorias que representam um ataque avançado de spear phishing e que são extremamente difíceis de identificar:
- Contato interno – o criminoso personifica um colega do trabalho
- Parceiro externo – o criminoso personifica um fornecedor ou cliente
- Provedor de serviço – o criminoso personifica uma empresa de serviços como um Banco, Microsoft ou Locaweb
Independente da categoria de spear phishing, o criminoso utiliza várias técnicas de manipulação para tentar se passar por um perfil verdadeiro. Em alguns casos, o criminoso tenta criar uma relação com a vítima que pode durar vários dias até o momento que ele sentir sua confiança e enviar um e-mail com um pedido de transferir algum dinheiro, por exemplo.
Ok, apenas treinar não resolve…
Então o que fazer para evitar ataques de phishing na empresa?
Que os treinamentos não são suficientes para impedir que as pessoas caiam em golpes, isso já sabemos. Empresas que contam que conscientizar os colaboradores é sua única defesa contra ataques de phishing estão extremamente expostas. Não apenas porque os funcionários são confrontados com a tarefa impossível de identificar todo tipo de ataque, mas também porque as pessoas cometem erros, quebram as regras e são facilmente enganadas.
Por isso, além de treinamentos com os funcionários, as empresas devem empregar a tecnologia como aliada para ajudar na segurança da informação e evitar perdas de dados e dinheiro. Soluções tecnológicas modernas podem identificar phishing com maior precisão e velocidade.
No caso dos e-mails, é importante que as empresas se preocupem primeiramente em utilizar algum serviço de e-mail que seja confiável e que ajude a detectar boa parte dos e-mails maliciosos. Aqui na Lumiun escolhemos o Gmail, no pacote G Suite da Google. Outro bom exemplo é o Outlook no pacote Microsoft 365.
A Tessian, que disponibilizou a pesquisa, também possui um serviço que aumenta a segurança dos e-mails.
Agora, se você quiser uma segurança mais completa, que além do e-mail possa também identificar sites maliciosos em qualquer tipo de acesso à internet, uma boa solução é o Lumiun. O Lumiun é um serviço que protege os usuários contra phishing e aumenta a segurança no uso da internet nas pequenas e médias empresas, através de uma plataforma em nuvem.
Veja no vídeo abaixo o funcionamento de um ataque phishing, e como o Lumiun entra em ação para proteger sua empresa:
Sabemos que hoje não há como acabar definitivamente com os ataques de phishing. Mas podemos utilizar tecnologias que melhoram muito a segurança da informação da empresa e ao mesmo a produtividade dos colaboradores.
É preciso lembrar que problemas com vazamento de dados ou perda de informações, bem como equipamentos parados, também impactam na produtividade. O uso de ferramentas para segurança da rede, permite que os colaboradores dediquem mais atenção às tarefas que geram resultados, ao invés de se preocuparem com ameaças de segurança não controladas.
Peça uma demonstração do Lumiun e veja na prática como é possível transformar a segurança e a produtividade da sua empresa.
8 comentários
Comentários fechados