Proteja o seu negócio contra estas ameaças de cibersegurança

0
35
Proteja o seu negócio contra estas ameaças de cibersegurança
Proteja o seu negócio contra estas ameaças de cibersegurança

Os ataques de phishing, são um esquema comum em que alguém se faz passar por uma parte de confiança (como um empregador, um banco ou um funcionário do governo) numa tentativa de roubar informações pessoais, tais como números de cartão de crédito, nomes de utilizadores e endereços de e-mail.

Por vezes, estas tentativas são óbvias; por exemplo, um pedido de dinheiro para alguém que não conhece. No entanto, estes esquemas estão a tornar-se mais sofisticados e direcionados. É conveniente ir precavendo regularmente um ataque de phishing, e para realizar com sucesso um teste de phishing, os profissionais devem ter em atenção os seguintes pontos:

Educar

Treine os colaboradores sobre os detalhes, como abaixo, de um esquema de phishing e formas de identificar um, e notificá-los que a empresa vai fazer testes ocasionais para ajudar a preparar os empregados para um ataque num ambiente controlado.

Criar um protocolo

Determine uma maneira fácil para os colaboradores sinalizarem potenciais esquemas de phishing para a sua equipa de TI/segurança. Isto pode assumir a forma de um pseudónimo de e-mail dedicado ou um botão incorporado incorporado nas caixas de entrada dos empregados.

Considere o tempo

O teste deve ser construído como uma série contínua de simulações de phishing ao longo do tempo para avaliar o sucesso e a melhoria. Eles devem variar no método para dar aos colaboradores múltiplas oportunidades para aprender.

Incluir todos

Os quadros superiores e executivos são muitas vezes alvos principais para esquemas de phishing, por isso é importante que sejam incluídos como parte do teste.

Relatórios de afinação

O reporte é fundamental para medir o sucesso e acompanhar as melhorias. Existem três métricas-chave que pretende medir: 1) taxas de clique de ligação; 2) número de funcionários que vazam dados sensíveis (isto é, fornecem uma combinação utilizador/ senha) e 3) número de funcionários que reportaram um e-mail de phishing. Os dois primeiros devem diminuir ao longo do tempo, enquanto o número de pessoas que reportam um e-mail de phishing deve subir.

Ajudar os ´low-performers´

Uma das partes mais importantes de qualquer teste de phishing é fornecer formação adicional para ajudar os ´low-performers´ – os menos conhecedores – a alcançar o sucesso. Isto deve ser feito de forma educada e de forma amigável, pois é importante que os colaboradores se sintam confortáveis a falar sobre as suas lutas com a cibersegurança. Os gestores devem intervir mais de perto com aqueles que têm problemas contínuos, oferecendo um tutorial sobre a deteção de e-mails de phishing que inclui exemplos populares e coisas que aconteceram a outros negócios.

O login de um empregado pode causar estragos numa organização, especialmente se reutilizarem palavras-passe através de contas, deixando os dados de negócio sensíveis em risco. Para mitigar estes acontecimentos, os empregadores devem garantir que os empregados estão familiarizados com as táticas usadas em esquemas específicos, como ataques de phishing, e deverão estar cientes e atentos às ´red-flags´:

Urgência

Os hackers muitas vezes criam uma sensação de urgência ameaçando cortar o seu serviço, ou dando um prazo apertado. Por exemplo, um e-mail de phishing de alguém que se faça passar por banco ou outra instituição financeira pode pedir-lhe para “confirmar a sua conta” e re-enunciar as suas informações de pagamento ou então a sua conta será encerrada. Se algo parece estranho ou alarmante, vale a pena aproveitar o tempo para investigar mais.

Falta de personalização

Os criminosos virtuais enviam frequentemente centenas de e-mails de cada vez; uma grande indicação de um e-mail falso é a falta de uma saudação personalizada. Identifique como suspeito se o e-mail não inclui o seu nome ou nome de utilizador, nem o endereço simplesmente como “Cliente” ou “Titular da Conta”.

Endereço de e-mail ilegítimo

Os criminosos virtuais criam frequentemente uma conta de e-mail que se assemelha muito ao endereço de e-mail oficial de uma empresa, com apenas uma letra ou palavra alterada. O Phishing nos e-mails também podem parecer vir do nome de uma pessoa real dentro da sua empresa, embora, em posterior inspeção, o endereço de e-mail em si não esteja dentro do domínio da organização. Olhe atentamente para o endereço de e-mail do remetente para identificar quaisquer discrepâncias.

Má ortografia/gramática

Uma forma rápida de identificar um esquema de phishing é o uso de palavras mal soletradas e má gramática no corpo do e-mail.

Para aumentar ainda mais a consciencialização e prevenção da vítima destes esquemas, as organizações devem considerar a realização de testes de phishing para criar phishing simulado e-mails e/ou websites que são depois enviados aos colaboradores. Tanto as empresas como os empregados estão a adaptar-se às novas regras da tecnologia, uma vez que a fronteira entre o trabalho e a casa se tornou mais estreita do que nunca, graças a tudo pelo que estamos a passar, e graças a todos os que nos tornaram mais preparados para o impacto da COVID-19 no local de trabalho. As ameaças à segurança online estão a aumentar à medida que as organizações de todo o mundo se estão a adaptar a uma força de trabalho mais remota e a avaliar a mudança de modelos de local de trabalho para o futuro.

Considerando que os funcionários são o elo de segurança mais fraco de uma organização, é essencial proteger os seus negócios e funcionários contra o comum das ameaças, como ataques de phishing, que só estão a aumentar durante a pandemia. Um empregado pode receber um e-mail urgente do seu CEO pedindo-lhes que comprem cartões oferta para um cliente, ou do seu departamento de RH pedindo pessoal ou informações para confirmar os seus dados de folha de pagamento. Estes podem ser mais difíceis de detetar, especialmente se o alvo for um novo empregado, com pressa, ou de alguma forma distraído.

Executar estes testes pode ajudar os colaboradores a entender as diferentes formas que um ataque de phishing pode tomar, aprender a identificar melhor as suas características, e sublinhar a importância de evitar clicar em links maliciosos. Um estudo do Instituto Ponemon descobriu que simulações de phishing provaram duplicar a consciência dos funcionários, taxas de retenção, e produzir cerca de 40 por cento do retorno deste investimento contra táticas de treino de cibersegurança mais tradicionais. Por último, será sempre positivo educar as equipas sobre as melhores práticas de segurança em geral para garantir que estão a tomar precauções adicionais no que diz respeito às suas contas relacionadas com o trabalho e dispositivos.

Isto pode incluir ativar a autenticação de dois fatores para uma camada de segurança adicionada e usar uma senha forte e diferente para cada conta. Este último é crítico, especialmente para os funcionários que podem ter usado a mesma senha em contas pessoais e empresariais no passado.

É imperativo que todos entendem que usar senhas únicas garante que se uma conta for violada, as suas outras contas permanecem seguras. Educar o seu local de trabalho sobre ameaças comuns e boas práticas irá mitigar os riscos potenciais a que a sua organização está exposta através dos colaboradores. Sem uma abordagem pensada e contínua à segurança, a sua organização pode encontrar-se enquanto próxima vítima de uma violação de dados.

Fonte: Techradar

Quer saber outras novidades? Veja em baixo as nossas Sugestões

Quer saber outras novidades? Veja em baixo as nossas Sugestões

Deixe uma resposta