Como as empresas podem aumentar as precauções contra o phishing?

Por: Daniel Praciano

O relatório Strategic Security Survey da Dark Reading mostra que 58% das organizações em 2021 acusaram o phishing de ser a principal causa de seus problemas. 53% citaram o phishing como causa direta de incidentes de segurança e, para 48%, esta seria a causa mais provável de um incidente. Por causa disso, as empresas devem aumentar as precauções contra phishing.

Segundo a Tempest Security Intelligence, empresa brasileira de segurança cibernética, o phishing que mira no CEO e outros executivos de alto nível é o principal tipo de spear phishing. O ataque ocorre a partir de um estudo prévio e coleta de dados de determinados usuários para fazer uma abordagem personalizada, que pode culminar no roubo da credencial de um desses executivos.

De posse da credencial de um CEO, o criminoso pode, por exemplo, solicitar fundos, transferências financeiras ou informações sensíveis sem levantar suspeitas em um ataque conhecido como CEO Fraud. Esses ataques podem atingir alta complexidade dependendo do alvo e do interesse.

Um recente relatório divulgado pela Tempest Security Intelligence resgata o caso de um executivo de uma empresa do Reino Unido que relata uma conversa telefônica com o CEO da empresa (sediada na Alemanha), que solicitou a transferência urgente de mais de 200 mil euros para um húngaro fornecedor. Segundo o depoimento, a voz ao telefone parecia a do CEO da empresa; no entanto, a vítima conversou com um fraudador usando um sistema profundamente falso.

De acordo com os registros do Internet Crime Complaint Center (IC3) – órgão do FBI que centraliza reclamações de golpes na Internet e roubo de contas (executivo e não executivo) – o phishing gerou mais de US$ 1,7 bilhão em perdas financeiras em 2019 e mais de US$ 1,8 bilhão em 2020. Pensando nesse assunto, os especialistas em segurança têm um consenso de que as empresas precisam de soluções de Security Awareness, incluindo treinamento e conscientização de segurança na rotina da empresa, para posicionar os funcionários como a linha de frente da segurança do negócio.

Mesmo assim, há um longo caminho a percorrer. Uma pesquisa realizada no Brasil no final do ano passado pela Aliança Nacional de Segurança Cibernética descobriu que 64% dos entrevistados não tiveram acesso a qualquer aconselhamento ou treinamento em segurança cibernética.

3 passos para aumentar a segurança de sua empresa

De acordo com o Gartner, existem três fatores de sucesso para um serviço de Conscientização de Segurança:

1 – O primeiro é ter uma liderança alinhada a uma visão de consciência da importância da segurança digital.

2 – A segunda são métricas orientadas a resultados e indicadores comportamentais por meio de relatórios que indicam o engajamento dos funcionários em treinamentos.

3 – Por fim, há a comunicação eficaz dos valores do negócio, momento de aplicação dos insights obtidos nas etapas anteriores.

__________

Daniel Praciano tem experiência em coordenação de equipes de jornalismo na TV, internet e em jornais. Também, como podcaster e comentarista de tecnologia no radio. Website: dptechtrends.com