Mais de 90% de todos os incidentes de segurança cibernética se originam de e-mails. À medida que organizações em todo o mundo adotaram o trabalho remoto em um ritmo sem precedentes, a dependência do e-mail também aumentou simultaneamente. Isso tornou o e-mail um dos vetores de ataque mais favoritos e lucrativos entre os cibercriminosos.
De acordo com informações provenientes da ONU, houve um aumento de 600% nos e-mails maliciosos em meio à crise do COVID-19.
E-mails fraudulentos são quase sempre elaborados para criar um senso de urgência. Por exemplo, o invasor pode se passar por um alto executivo para enganar funcionários ou parceiros para enviar dinheiro ou informações de identificação pessoal, como senhas, números de CPF, números de cartão de crédito, credenciais de login e assim por diante.
A seguir estão alguns dos tipos mais comuns de e-mails que são mais propensos a serem usados para enganar funcionários.
(i) NOTIFICAÇÃO DE PAGAMENTO
(ii) RECIBO DA APPLE
(iii) VERIFICAÇÃO DE SENHA
(iv) PAGAMENTO DEVIDO
Os invasores usam essa tática para atacar a curiosidade natural dos funcionários e sua disposição de confiar. Isso ocorre principalmente porque os invasores geralmente operam sob a presunção de que é mais fácil explorar o
vulnerabilidades de traços comportamentais humanos, como confiança, do que vulnerabilidades tecnológicas. Afinal, é muito mais fácil configurar um firewall e um anti vírus do que capacitar todos os colaboradores de uma empresa.
Por mais convincente que pareça, nem todos os e-mails que parecem vir de uma instituição de renome são legítimos. Alguns e-mails contêm links que não correspondem ao site oficial, e um colaborador incauto pode clicar no link pensando que ele o levará a um site legítimo. Esses emails tentam atrair colaboradores para visitar um site falso, com o objetivo de injetar algum vírus no computador do funcionário (ou outros programas maliciosos que podem comprometer o respectivo computador) ou roubar suas credenciais de login e senha, bem como outras informações, como contas bancárias, dados confidenciais e documentos privilegiados.
Documentos anexos a e-mails também são uma das maneiras mais comuns pelas quais os invasores tentam infiltrar vírus no computador de um colaborador. É por isso que é imperativo tratar os anexos de e-mail com muito cuidado. Especialmente se for de um arquivo executável (.exe) que, ao acioná-lo, irá instalar um programa malicioso no computador com a permissão do usuário, que certamente infectará toda a rede, computadores e servidores onde este computador contaminado estiver conectado.
De acordo com a Cybersecurity and Infrastructure Security Agency's (CISA), se um arquivo malicioso for executado, pode causar os seguintes passivos:
1 - Criar uma vulnerabilidade de segurança no computador em que o arquivo foi executado.
2 - Abrir um "backdoor" para o invasor, permitindo o acesso ilícito ao computador contaminado.
3 - Instalar um software fraudulento que registre as teclas digitadas pelo colaborador e enviar os logs para o invasor. O invasor pode então vasculhar esses logs e descobrir as senhas do colaborador e outras informações importantes.
4 - Obter acesso aos arquivos do colaborador e monitorar as suas atividades on-line e os detalhes das transações.
5 - Transformar o computador do colaborador em um “bot”, hipótese em que o invasor poderá usar o equipamento para enviar spam, ataques de negação de serviço (DNS) ou espalhar vírus para outros computadores na rede.
Não importa quão forte seja a segurança de uma organização, basta um colaborador negligente clicar em um link malicioso e colocar em risco toda a rede e os dados da organização.
Em pesquisa realizada pela Infosecurity Magazine (https://www.infosecurity-magazine.com/news/phishing-remains-top-attack-vector), 90% a 95% dos ataques cibernéticos bem-sucedidos começam com golpes de phishing, enquanto a KnowBe4 (https://www.knowbe4.com/press/new-knowbe4-benchmarking-report-finds-37.9-of-untrained-end-users-will-fail-a-phishing-test) publicou que 37,9% dos funcionários não treinados falharão em um teste de phishing.
Os números são muito altos!
Portanto, uma das coisas mais sensatas para as organizações seria avaliar o nível de compreensão que os colaboradores têm sobre os ataques cibernéticos por e-mail e educá-los sobre os riscos associados ao uso negligente de e-mail.
Ou seja, aplicar técnicas de governança de segurança de dados e capacitação técnica!
Isso é crucial, especialmente para pequenas empresas, porque muitas vezes são prejudicadas por recursos limitados para ter mecanismos adequados à prova de falhas para se recuperar de incidentes de segurança cibernética.
A própria Level Group tem um treinamento muito bacana sobre LGPD - Lei Geral de Proteção de Dados para Supply Chain: https://level-group.myedools.com/lgpd-lei-geral-de-protecao-de-dados-para-supply-chain
Independentemente do treinamento que venha a fazer, felizmente, o custo de educar os colaboradores é muito menor do que o custo médio de uma violação de dados. Então não perca tempo. Remediar custa muito mais caro que prevenir.
Deixe seu comentário