Cerca de 83% dos CISOs afirmaram em 2023 que o e-mail é a principal porta de entrada de ciberataques em empresas. Já um relatório feito pela Kaspersky reforça que o phishing segue como uma das principais ameaças para as Pequenas e Médias empresas. Por conta do mês das PMEs e visando ajudar a cibersegurança dessas empresas, a Kaspersky explica a anatomia de um ataque usando mensagens fraudulentas (phishing) e dá dicas de como se proteger delas.
Phishing são mensagens criadas por criminosos com o objetivo de enganar e convencer vítimas a darem dados pessoais, senhas ou números de cartões de crédito, usando argumentos convincentes e parecendo ser alguém confiável e legítimo. Os exemplos mais comuns são SMS alarmantes informando uma suposta invasão na conta bancária ou promoção de celular de luxo com 70% de desconto.
No âmbito empresarial, as mensagens que buscam obter acesso ao Internet Banking são muito frequentes, mas há também aquelas que visam roubar as credenciais corporativas que permitem que criminosos possam acessar a rede privada das organizações. Nesse golpes, os argumentos mais comuns são falsos alertas vindo do departamento de Recursos Humanos ou de erros na entrega de e-mails.
Em resposta a este problema, a Kaspersky desenvolveu a anatomia de um ataque de phishing para ajudar as PMEs a se protegerem de forma eficaz contra potenciais violações.
1. Motivação dos cibercriminosos: os ataques de phishing são majoritariamente motivados por ganhos financeiros no Brasi, visando obter informações de forma ilegal. Cibercriminosos buscam por dados sensíveis, como cartões de crédito ou credenciais corporativas para vendê-los ou usá-los de forma fraudulenta, como em um ataque de ransomware, necessário para invadir a rede, roubar dados confidenciais e, posteriormente, bloquear a operação.
2. A abordagem inicial: esses ataques começam com a criação de mensagens falsas que tentam ser o mais convincente possível para conseguir induzir a vítima ao erro. Esses e-mails também tentam imitar ao máximo as comunicações legítimas das empresas, como bancos, lojas online e órgãos do governo – isso dá um ar de credibilidade. Essa etapa foi muito simplificada pelo uso de ferramentas de Inteligência Artificial, que permitiu um aumento massivo desses ataques no Brasil em 2023.
3. Conteúdo e técnicas enganosas: o sucesso do phishing se dá sempre pela falha humana. O uso de técnicas de manipulação psicológica – como a sensação de perigo urgente com a alegação de invasão da conta bancária – força a vítima a agir impulsivamente, sem avaliar completamente a legitimidade da mensagem. Outros exemplos de estratégia usadas nas mensagens fraudulentas incluem:
– Falsas suposições: as mensagens que constam nos e-mails podem indicar alguma urgência ou importância, incitando os destinatários a agir rapidamente, para evitar consequências ou aproveitar de oportunidades únicas.
– Engenharia social: os cibercriminosos personalizam as mensagens para se aproximar aos interesses, funções ou preocupações das vítimas, aumentando a probabilidade de atraí-la.
– Ligações e anexos maliciosos: as mensagens de e-mails são ligadas a sites fraudulentos ou anexos maliciosos para recolher credenciais, instalar malware ou iniciar transações não autorizadas.
4. Evitar a detecção: para evitar a detecção pelos filtros de segurança de e-mail e pelas soluções anti phishing, os cibercriminosos aperfeiçoam constantemente as suas táticas e adaptam-se à evolução das medidas de cibersegurança. Podem aplicar técnicas de ofuscação, métodos de encriptação ou redirecionamento de URLs para evitar a sua detecção e aumentar a eficácia dos seus ataques.
“No atual cenário de ameaças em constante evolução, as empresas enfrentam uma variedade cada vez maior de riscos online, como os ataques baseados nos e-mails, que representam uma ameaça para empresas de todos os tamanhos. O maior ponto fraco das PMEs é que elas ainda enxergam o investimento em treinamento e capacitação em cibersegurança como um custo, e um gasto “alto”. Porém, as fraudes financeiras para quebrar uma pequena empresa e um ransomware podem gerar gastos muito maiores. Infelizmente, esse valor do treinamento só é visto após a empresa ser vítima de um ataque. Os empresários precisam mudar sua visão sobre a cibersegurança de custo para uma área que viabiliza a continuidade do negócio”, avalia Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
Para que as empresas estejam seguras, a Kaspersky recomenda impedir que e-mails de phishing cheguem às caixas de correio dos funcionários com soluções de segurança no gateway de e-mail; e exigir senhas exclusivas. As empresas devem instruir os funcionários a usarem senhas exclusivas para cada serviço ou dispositivo de trabalho. Então, mesmo se os phishers obtiverem uma senha, nenhum outro recurso estará em risco.
É necessário também educar os colaboradores sobre esquemas que os cibercriminosos utilizam para que eles sejam capazes de detectar e-mails suspeitos. Faça um treinamento de conscientização sobre cibersegurança da equipe, usando o seu departamento de TI ou de especialistas externos. Após o treinamento básico, os funcionários serão capazes de identificar a maioria dos e-mails de phishing, observando dicas visuais, como endereço de remetente desconhecido, logotipo da empresa errado e erros de digitação.