Dois assuntos são bastante recorrentes aqui no nosso blog: os prejuízos que podem – e são – causados pelo phishing em empresas e a relação entre treinamentos e conscientização para a segurança da informação e a redução desses prejuízos. Uma pesquisa recente realizada pelas empresas de segurança Unified Security Management e AlienVault trouxe números que reforçam essas premissas.
As empresas ouviram 300 profissionais de TI na pesquisa e descobriu que mais de 80% desses profissionais estão preocupados com o fato de os CEOs e os membros dos conselhos executivos de suas empresas estarem vulneráveis a ameaças envolvendo spear phishing (expressão derivada do inglês “pesca com arpão, usada para designar o phishig direcionado).
Mais da metade dos entrevistados acredita que os executivos já foram vítimas de golpes desse tipo, que mira alvos específicos.
Diferentemente dos casos de phishing mais comuns – que usam do spam para atingir um grande número de pessoas ao mesmo tempo, aumentando as chances de fisgar vítimas – no spear phishing o golpista estuda seus alvos cuidadosamente, vasculhando redes sociais, sites corporativos e outras fontes para conseguir informações sobre colaboradores e a rotina da empresa, criando um golpe sob medida para a sua vítima, aumentando as chances de sucesso.
Uma variação do spear phishing, que em inglês recebeu o nome de CEO Fraud, mira especificamente CEOs e diretores de empresas, que são levados por golpistas a transferir somas em dinheiro para contas bancárias de criminosos. Essa variante já foi tema de um comunicado do FBI, que alertava para o aumento de ocorrências desse tipo. No comunicado a agência estimou os prejuízos relacionados ao CEO Fraud em mais de US$ 2 bi em um período de 3 anos.
Exemplo de phishing corporativo:
“Olá, preciso que você faça uma transferência para mim ainda hoje”
Apesar da preocupação com os riscos de ataque sofridos pelos executivos, menos da metade dos profissionais ouvidos (45%) afirmou oferecer treinamentos em segurança para todos na organização (incluindo executivos); 35% disse ter realizado treinamentos com a maioria dos funcionários e 20% afirmou não oferecer nenhum tipo de treinamento para prevenção de incidentes, dando apenas orientações sobre como lidar com elas após o ocorrido.
Para Javvad Malik, especialista em segurança da AlienVault, existem dois desafios. O primeiro está relacionado à identificação do spear phishing, já que “esse tipo de ataque é muito bem construído, feito com base em muita pesquisa das vítmas, no caso os executivos”.
Ao mesmo tempo ele lembra que, “executivos contam com assistentes que cuidam de suas rotinas diárias. Eles também estão suscetíveis a ataques”. Dessa forma, o especialista aponta a importância do treinamento em todas as instâncias: “é importante treinar todos os colaboradores de uma organização já que atacantes vão tentar atacar os elos mais fracos”.
Para evitar cair nesse tipo de fraude é recomendado habilitar a autenticação em duas etapas onde for possível, além de estabelecer outros canais de comunicação para a confirmação de identidade em operações sensíveis.
Também é recomendável evitar a publicação de muitas informações a respeito da rotina da empresa, seja em redes sociais seja no site ou blog da companhia.
Além disso é importante desconfiar de mensagens que pedem ações urgentes – especialmente as que envolvem transações financeiras – ou que pedem informações pessoais.
Para saber mais sobre a importância do treinamento para evitar prejuízos com o phishing, leia nosso especial em três partes sobre Conscientização em Segurança da Informação e a importância do Ciclo Educativo.
