Quando se trata de phishing e outros e-mails comerciais que possibilitam os ataques cibernéticos, a questão não é se uma empresa será alvo. É quando.
No ano passado, o Centro de Denúncias de Crimes na Internet do FBI recebeu 19.954 denúncias relativas a ataques de comprometimento de e-mails comerciais, resultando em quase 2,4 bilhões de dólares em perdas. Nesses ataques, os hackers enviam milhares de e-mails com links e anexos fraudulentos.
O objetivo é enganar usuários induzindo-os a abrir esses links e inserir suas credenciais. Dessa forma, o cyber criminoso tem acesso ao sistema. E uma vez no sistema, ele pode roubar dados, criptografar arquivos, lançar um ataque de resgate ou iniciar transferências eletrônicas fraudulentas.
Com os ataques de phishing cada vez mais comuns, gerando grandes prejuízos, as empresas se preocupam em como devem responder a esse tipo de ocorrência. Aqui estão três passos essenciais para os empregadores, diante de um ataque dessa natureza.
1) Relatar o ataque a área de Segurança Cibernética ou departamento de TI
O primeiro passo que um funcionário deve tomar se identificar um esquema de phishing é notificar imediatamente a equipe de Segurança ou TI da empresa, dependendo da estrutura da companhia. Essas equipes estão na primeira linha de defesa para determinar se o e-mail foi realmente um ataque de phishing e para notificar todas as partes relevantes dentro da empresa que possam tomar outras medidas necessárias.
Eles também podem se encarregar de redefinir senhas, pois tanto o funcionário que clicou no link quanto outros na organização precisarão alterar quaisquer credenciais de login que possam ter sido comprometidas.
Os empregadores podem garantir que seus funcionários informem corretamente seus e-mails de phishing, tendo uma política claramente detalhada disponível para todos os colaboradores. Dessa forma, um usuário sabe o que fazer se encontrar ou clicar acidentalmente em um link malicioso.
2) Resposta interna a Incidentes de Phishing
Quando um funcionário notifica a equipe de Segurança ou TI sobre um ataque dessa natureza, a equipe interna de Resposta a Incidentes de uma empresa deve entrar em ação. A equipe de resposta a incidentes é responsável por determinar o que fazer no caso de um ataque de phishing, a fim de limitar a exposição da corporação.
Essa equipe determinará o escopo do ataque e a quantidade de dados que foram comprometidos. Em alguns casos, um invasor pode criar sistemas de encaminhamento de e-mail que os alertam sobre quaisquer novos e-mails que um funcionário possa receber a fim de ver se eles podem obter mais acesso à rede. Uma das principais funções dessa equipe é notificar se os dados foram comprometidos.
3) Entre em contato com sua seguradora
Outra ação a ser tomada na sequência imediata de um ataque é entrar em contato com sua seguradora cibernética, se houver. Essas empresas têm acesso a uma equipe de investigadores forenses e de violação de dados que poderão ajudar a acompanhar sua empresa na resposta ao incidente.
Esses profissionais têm experiência nesse tipo de evento e com a aplicação da lei. Eles provavelmente também saberão como negociar com invasores e como adquirir bitcoin e outras moedas criptográficas no caso do ataque de phishing levar a um evento de resgate.
Se ocorrer uma transferência eletrônica fraudulenta, esses profissionais podem acompanhar as negociações e ajudar com a denúncia as autoridades competentes e trabalhar com estas para tentar recuperar esses fundos.
Prepare seus usuários para os riscos de Phishing
Para identificar ataques cibernéticos antes que qualquer dano aconteça, as empresas podem tomar uma série de ações para prevenir ataques de phishing e proteger seus dados, no caso de situações de comprometimento de e-mail comercial. O melhor momento para entender esse tipo de ameaça é antes de a companhia ser exposta.
Treinamentos direcionados, onde uma empresa educa os funcionários sobre como detectar um ataque de comprometimento de e-mail comercial e, em seguida, aplicar regularmente testes simulados de phishing podem contribuir muito para manter sua empresa segura. Essa é uma prática que fazemos bastante aqui na Kroll com os clientes. E ainda assim, muitos usuários ainda caem no teste. Por isso é tão importante o trabalho de conscientização e educação cibernética.
Além disso, as empresas devem considerar um treinamento especializado para os usuários que podem estar mais expostos ao risco de um ataque de phishing. Embora os invasores visem todo tipo de usuário, eles podem estar mais interessados em colaboradores de RH e de finanças, que tendem a ter acesso a informações sensíveis que o atacante pode então manter reféns em um evento de resgate.
Ao planejar o treinamento, é importante lembrar aos usuários que os invasores podem tentar usar eventos atuais ou feriados para tentar enganar as pessoas a clicar nos links de phishing. Em época de festas, há muitas vezes um aumento nos ataques, à medida que os golpistas tentam usar notificações de envio fraudulentas e cartões comerativos para atrair as vítimas.
Os eventos atuais – particularmente os estressantes – são outra área onde os invasores podem tentar enganar os usuários para que eles cliquem em links fraudulentos. Durante os primeiros dias da pandemia de COVID-19, os cyber criminosos se passaram por funcionários da OMS e enviaram e-mails oferecendo testes de segurança numa tentativa de apanhar seus alvos, de acordo com o Risk & Insurance® relatado em março de 2020. Há também medidas que um empregador pode tomar para limitar a quantidade de dados a que um hacker tem acesso no caso de um ataque de phishing. As empresas podem considerar políticas de retenção de dados que exijam que os empregados excluam ou codifiquem e-mails após um determinado período, o que pode limitar a quantidade de dados a que um hacker tem acesso caso invada a caixa de entrada de um empregado. Outra medida é a implementação de autenticação multifator – como um código entregue via mensagem de texto e exigido para login –, que pode limitar a capacidade de um invasor de acessar dados sensíveis, mesmo que ele tenha as credenciais de um funcionário. O objetivo que está no centro de todas as ações de segurança cibernética é dificultar o acesso do invasor ao sistema da empresa.
Walmir Freitas, head da prática de Segurança Cibernética da Kroll no Brasil.
