#

← scroll down

Proteger o seu local de trabalho contra ameaças online

Notícia publicada na Exame Informática a 10 de Agosto de 2020.

“Tendo em conta que os colaboradores são o elo mais fraco no que diz respeito à segurança de uma empresa, é essencial proteger os negócios e trabalhadores contra ameaças comuns, como ataques de phishing” – a opinião de Emmanuel Schalit, CEO da Dashlane

As ameaças à segurança online estão a aumentar, ao mesmo tempo que as empresas em geral se adaptam a uma força de trabalho mais remota e avaliam os modelos de trabalho para o futuro. Tendo em conta que os colaboradores são o elo mais fraco no que diz respeito à segurança de uma empresa, é essencial proteger os negócios e trabalhadores contra ameaças comuns, como ataques de phishing, que só têm vindo a aumentar durante a pandemia.

Os ataques de phishing são um esquema comum em que alguém se apresenta como parte confiável (empregador, banco ou funcionário do governo), na tentativa de roubar informações pessoais, como números de cartão de crédito, nomes de utilizador e endereços de e-mail. Às vezes, essas tentativas são óbvias: por exemplo, um pedido para transferir dinheiro por parte de alguém que não se conhece. No entanto, estes esquemas estão a tornar-se mais sofisticados e direcionados.

Um colaborador pode receber um e-mail urgente do CEO a solicitar a compra de cartões-presente para um cliente ou do departamento de Recursos Humanos a pedir informações pessoais para confirmar os detalhes do recibo de salário. Estas situações podem ser mais difíceis de detetar, principalmente se o alvo for um novo funcionário, ou alguém que esteja com pressa ou até distraído.

Um colaborador com um log in “violado” pode causar estragos em toda a empresa, especialmente se este colaborador reutilizar passwords nas suas contas, colocando em risco dados comerciais sensíveis. Para atenuar isto, os empregadores devem garantir que os funcionários estejam familiarizados com as táticas utilizadas em esquemas específicos, como ataques de phishing, para que percebam os sinais de alerta a que devem estar atentos.

 

Sinais de alerta de ataques de phishing

Urgência

Os hackers geralmente criam um sentido de urgência, com a ameaça de interromper um serviço ou concedendo um prazo apertado. Por exemplo, um e-mail de phishing de alguém que se apresenta como um banco ou outra instituição financeira pode solicitar-lhe a confirmação da sua conta e o reenvio das suas informações de pagamento; caso contrário, a sua conta será encerrada. Se algo parecer estranho ou alarmante, vale a pena perder algum tempo para analisar melhor.

Falta de personalização

Os cibercriminosos costumam enviar centenas de e-mails de uma só vez, sendo que um indício importante num e-mail falso é a falta de um cumprimento personalizado. Suspeite se o e-mail não incluir o seu nome ou nome de utilizador ou o tratar simplesmente como “cliente” ou “titular da conta”.

Endereço de e-mail ilegítimo

Os cibercriminosos geralmente criam uma conta de e-mail que se assemelha ao endereço de e-mail oficial de uma empresa, com apenas uma letra ou palavra alteradas. Os e-mails de phishing também podem parecer que são remetidos por uma pessoa real da empresa; embora, após uma análise mais aprofundada, o endereço de e-mail em si não contenha o domínio de e-mail da empresa. Observe atentamente o endereço de e-mail do remetente para identificar quaisquer discrepâncias.

Ortografia / gramática fracas

Uma maneira rápida de identificar uma fraude de phishing é a utilização de palavras com erros ortográficos e gramática fraca no corpo de e-mail. Para aumentar ainda mais a consciencialização e prevenir que haja vítimas destes esquemas, as empresas devem considerar a execução de simulações de phishing, criando e-mails e/ou sites de phishing simulados, e enviando-vos aos colaboradores. A execução destes testes pode ajudar os trabalhadores a entender as diferentes formas que um ataque de phishing pode assumir, aprender a identificar melhor as suas características e a enfatizar a importância de evitar clicar em links maliciosos. Um estudo do Ponemon Institute descobriu que as simulações de phishing provaram duplicar as taxas de retenção de consciência dos colaboradores e geraram um ROI (retorno sobre o investimento) de quase 40% em comparação com as táticas tradicionais de treino em cibersegurança.

 

Para realizar com sucesso uma simulação de phishing, os empregadores devem

Educar

Treine os colaboradores acerca dos detalhes, acima mencionados, de um esquema de phishing e sobre a maneira de os identificar. Informe-os ainda que a empresa estará a executar testes ocasionais para ajudar a preparar os colaboradores para um ciberataque em ambiente controlado.

Criar um protocolo

Determine uma maneira fácil de os funcionários sinalizarem possíveis esquemas de phishing para a sua equipa de TI / segurança. Isto pode assumir a forma de um código específico de e-mail ou de um botão incorporado nas caixas de entrada dos colaboradores.

Ter em conta o tempo

O teste deve ser construído como uma série contínua de simulações de phishing, ao longo do tempo, para avaliar os sucessos e as melhorias. Estes devem variar no método, para oferecer aos colaboradores várias oportunidades de aprendizagem.

Incluir todos

Os gestores séniores e os executivos geralmente são os principais alvos dos esquemas de phishing, por isso é importante que os mesmos sejam incluídos nos testes.

Ajustar relatórios

Os relatórios são cruciais para medir o sucesso e acompanhar as melhorias. Há três métricas principais que se devem avaliar: 1) as taxas de cliques no link; 2) o número de funcionários que revelam dados confidenciais (ou seja, facultam uma combinação de utilizador / password) e 3) o número de funcionários que sinalizaram um e-mail de phishing. Os dois primeiros devem diminuir com o tempo, enquanto que o número de pessoas que denunciam um e-mail de phishing deve aumentar ao longo do tempo.

Ajudar os que têm baixo desempenho

Uma das partes mais importantes de qualquer simulação de phishing é proporcionar treino adicional para ajudar os que têm baixo desempenho a alcançar o sucesso. Isto deve ser feito de maneira educada e amigável, uma vez que é importante que os colaboradores se sintam à vontade para falar sobre as suas dificuldades com a cibersegurança. Informe os infratores acerca da primeira vez que cometeram erros no teste de phishing e disponibilize informação adicional sobre como identificar um e-mail falso. Os gestores devem intervir mais de perto com os que têm problemas recorrentes, oferecendo um tutorial que inclua exemplos mediáticos e situações que ocorreram com outras empresas.

 

Por fim, instrua as equipas acerca das práticas recomendadas de segurança em geral, para garantir que estas tomem precauções extra quando se trata de contas e dispositivos relacionados com o trabalho. Isto pode incluir a ativação da autenticação de dois fatores para uma camada adicional de segurança e a utilização de uma password forte e diferente para cada conta. O último é crítico, especialmente para colaboradores que possam ter utilizado a mesma password em contas pessoais e empresariais no passado. É fundamental que todos entendam que a utilização de passwords exclusivas garante que, se uma conta for “violada”, as outras contam permaneçam seguras.

Educar o seu local de trabalho acerca de ameaças comuns e boas práticas recomendadas reduzirá os riscos potenciais aos quais a empresa é exposta através dos seus colaboradores. Sem uma abordagem cuidadosa e à segurança, a sua empresa pode tornar-se na próxima vítima de uma violação de dados.

codefive