Semanalmente, nos deparamos com manchetes de um novo ataque ou de uma outra grande violação. Por exemplo, recentemente milhões de clientes nas lojas Saks e Lord & Taylor foram afetados por uma violação. Embora ainda esteja sob investigação, os relatórios iniciais apontam que é o resultado de um ataque de phishing.
Não é nenhuma surpresa que os hackers usem essa abordagem – as pessoas ainda são o elo mais fraco de qualquer programa de segurança. Isso torna o phishing uma das maiores ameaças enfrentadas atualmente pelas pequenas e médias empresas. De acordo com o Relatório de Investigações de Violações de Dados da Verizon, mais de 90% dos ataques começam com um phishing.
Um dos principais fundamentos para prevenir o phishing é a educação dos colaboradores. Ao capacitar a equipe em relação a diferentes tipos de ataques, ela pode se transformar de um dos elos de segurança mais fracos, em um dos maiores aliados de uma companhia. É possível fazer isso ao criar um programa abrangente de proteção contra phishing em toda a empresa.
Componentes de um Programa de Prevenção de Phishing
Programas abrangentes de proteção contra phishing incluem quatro componentes – proteção, educação, avaliação e relatórios. Compreender o porquê e como ajuda a concentrar os seus recursos limitados de segurança no que é importante.
– Proteção: O ciclo começa com a proteção, pois as taxas de cliques continuam altas.
É de extrema importância complementar a ligação entre proteção e educação com uma solução eficiente que forneça uma camada adicional de segurança para identificar e impedir infecções por malware. Assim, os funcionários que clicam nos e-mails de phishing são protegidos e recebem uma dose de treinamento depois da ação.
– Educação: Essa proteção precisa estar em sinergia com a educação. Os usuários precisam entender quando cometeram um erro e como se manter seguros no futuro. Certifique-se de treinar seus usuários sobre os perigos de clicar em arquivos suspeitos de anexos de e-mail e hiperlinks e links da Web incorporados. Eles são muito fáceis de detectar, uma vez que a maioria tende a não ser personalizada para destinatários individuais. Os e-mails de phishing geralmente têm gramática ruim, links que não correspondem a domínios da Web com marca ou outros problemas de aumento de sinalização.
– Avaliação: Os gerentes de TI precisam entender suas taxas de cliques e onde direcionar a educação. O treinamento é o primeiro passo, mas não descarta a necessidade de exercícios práticos e avaliações periódicas da equipe. Colocar e-mails de phishing para testar a sua força de trabalho demonstra e reitera a necessidade de revisão. O objetivo é mantê-los desconfiados ao interagir com anexos de arquivos ou links em e-mails não solicitados.
– Relatório: Os participantes de um programa de treinamento se beneficiam ao falar sobre os casos que presenciam. Isso esclarece o que os atacantes estão fazendo e reforça a necessidade de estar vigilante contra esses ataques.
Além disso, certifique-se de revisar e atualizar suas políticas de segurança anti-spam e firewall. As ameaças de segurança surgem e evoluem rapidamente. É preciso estar sempre alerta e atualizado sobre os últimos vazamentos, correções e patches.
* Todd O’Boyle é Director of Product Management da WatchGuard Technologies