A importância de orientar os funcionários sobre os ataques cibernéticos

Quando as empresas começam o processo de se preocupar com a segurança cibernética dos dados pessoais processados em seu cotidiano, é comum que o primeiro passo seja o de buscar a solução em tecnologias que ajudem nesse objetivo e evite ataques ou vazamento de informações, uma vez que imaginam que ataques cibernéticos são somente aqueles em que existe a invasão e ataque nas máquinas de uma forma muito bem elaborada e de difícil execução, e que nada que um bom software não possa resolver. 

        No entanto, uma invasão muito comum, devido a sua alta taxa de conversão, são aqueles feitos por meio de um simples e-mail enviado intencionalmente a um funcionário despreparado que ao abrir o e-mail e clicar no link, faz com que, não somente seu computador, mas a rede inteira da empresa seja invadida, que é o que chamamos de Phishing.

      Phishing se trata de roubo de identidade online.  Essa ação fraudulenta é caracterizada por tentativas de adquirir ilicitamente dados pessoais de outra pessoa ou da empresa como um todo, sejam senhas, dados financeiros, dados bancários, números de cartões de crédito ou simplesmente dados pessoais. É um ataque que pode acontecer de várias maneiras, mas com o mesmo objetivo. O fraudador utiliza e-mail, aplicativos e sites que são projetados especificamente para roubar dados pessoais. O criminoso se faz passar por uma pessoa ou empresa confiável enviando uma mensagem para conseguir atrair suas vítimas.

         Os conteúdos podem ser dos mais variados, em nome de bancos, governo, instituições financeiras, como meios de pagamentos digitais ou até mesmo Correios, sempre solicitando uma ação ou informação. Por exemplo, pode ser pedido para que abra determinado link ou arquivo, faça ligação ou instale/ atualize um software específico.

         Apesar de muitas pessoas acreditarem que Phishing é a mesma coisa que Spam, é preciso deixar claro: Phishing é bem diferente de Spam. Na prática, enquanto o Spam se relaciona apenas com uma grande quantidade de e-mails e mensagens, sem qualquer finalidade criminosa, o Phishing, como visto, é uma prática que tem como objetivo prejudicar a vítima, acessando dados e informações pessoais que vão muito além de e-mails.

         O envio de Phishing ocorre por meio do envio de mensagens eletrônicas que:

  • tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
  • procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
  • informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
  • tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web.

         Para atrair a atenção do titular as mensagens apresentam diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços a imagem de pessoas e assuntos em destaque no momento, alguns exemplos são:

– Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros.

– Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu computador.

– Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.

          Como podem ver, é um tipo de ataque que pode enganar qualquer funcionário. Na realidade, é um ataque que acontece muito dentro das empresas, justamente porque os funcionários não estão treinados e orientados o bastante para conseguir identificar que se trata de um golpe. E é aí onde muitas empresas sofrem nas mãos desses ladrões e hackers, simplesmente por ter sido negligente com parte humana da empresa. 

            Não adianta a melhor tecnologia, se quem está ali no dia a dia da operação não está qualificado e treinado para evitar que tais golpes possam acontecer na organização. 

         E como se prevenir desses ataques indesejados? Separamos algumas dicas para identificar o Phishing.

1) primeiro de tudo: Criar uma cultura de orientação recorrente de todos os funcionários da empresa;

1) ficar atento a mensagens, recebidas em nome de alguma instituição, que tentam induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;

2) questionar porquê instituições com as quais não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança;

3) não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido forjada;

4) seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;

5) verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o Phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso, dentre outras.

         Phishing é uma ameaça sem prazo para acabar. Pela simplicidade na divulgação por parte dos criminosos e porque ainda tem muitas pessoas sem conhecimento e que não estão atentas, principalmente quando usam máquinas da empresa.    

     Por isso, é preciso criar uma cultura de sempre educar e relembrar os colaboradores sobre tais golpes e quais as medidas básicas para evitar ser vítima de roubos e fraudes na rede.

Por Priscila Dacêncio e Vitória Ribeiro

REFERÊNCIA

https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

https://www.meuportoseguro.com.br/minha-vida/tecnologia/o-que-e-phishing-e-por-que-voce-precisa-fugir-disso/