De acordo com Allen Paller, diretor de pesquisa do Instituto SANS, 95% de todos os ataques contra redes corporativas são resultados de spear phishing (ou e-mails maliciosos direcionados) bem-sucedidos. Em outras palavras, alguém recebeu um e-mail, clicou no link ou abriu um arquivo malicioso - o que não deveria ter feito. Por exemplo, hackers chineses invadiram os computadores do New York Times com sucesso por meio de um spear phishing. Então, o que deveria fazer executivos de TI para proteger as redes das empresas desse tipo de golpe? Jim Hansen, da PhishMe , empresa que fornece programas de treinamentos antiphishing, disse que a maioria desses ataques segue uma das duas linhas possíveis - ou eles se aproveitam do medo das pessoas, ou da cobiça humana. Ou seja, as mensagens enviadas ou oferecem dinheiro, cupons de descontos ou promoções que são boas demais para ser verdade, ou anunciam que a conta de banco da vítima, ou até mesmo de um site que ela acessa regularmente, foi congelada e será preciso entrar novamente com as credenciais - entre outros truques que solicitam informações pessoais. Enquanto ataques de phishing comuns normalmente envolvem o envio de mensagens em massa, spear phishing pode parecer que foi enviado pelo departamento de TI da sua empresa, ou pelo departamento financeiro, ou ainda por algum amigo ou conhecido. Veja algumas dicas de Hansen para não cair nesse tipo de golpe:
1. Leia a URL do site de trás para frente. Isso mesmo, comece pelo fim. O endereço pode muito bem começar com "www.seubanco.com.br", mas quando termina com 120 caracteres sem sentido, comece a desconfiar.
2. Não caia no que está sendo chamado de "phishing de mão dupla", em que você responde ao e-mail com uma pergunta, "Você é realmente meu amigo Jim?". Cibercriminosos agora são espertos o suficiente para esperar um pouco, mostrar que a resposta não é automatizada, e então responder com: "Sim, sou eu, Jim". É claro que não é ele.
3. Nunca abra um PDF de alguém que você não conhece, afinal crackers estão se aproveitando para esconder seus arquivos maliciosos e executáveis dentro de PDFs aparentemente inofensivos.
4. Jamais forneça senha ou informações pessoais/confidenciais em resposta a uma consulta não solicitada.
5. Profissionais de segurança de TI devem considerar treinamentos que visem especificamente spear phishing.
A PhishMe é uma das várias empresas que oferecem programas baseados ena nuvem, em que grupos de TI podem enviar e-mails de phishing falsos para os funcionários e em seguida medir a taxa de falha. Hansen disse que os clientes da PhishMe muitas vezes se chocam com a taxa de insucesso, em outras palavras, o percentual de usuários finais que clicam em um spear phishing e digitam uma senha, que beira os 80%. Bomo o serviço funciona? Quando um usuário final cai no golpe, um cartão de memória flash gigante aparece naa tela, anunciando que ele foi vítima de phishing e detalhando o que fez de errado. Os clientes também recebem relatórios sobre o sucesso do programa de treinamento individual e algumas empresas podem tomar uma medida punitiva contra o funcionário que repetidamente clica em phishes falsos, enquanto outras empresas estão usando gratificações para recompensar o bom comportamento e para manter as pessoas em alerta. Hansen disse que quando as empresas terminam o treinamento, os funcionários tendem a voltar ao seu antigo comportamento, portanto, faz sentido para as companhias fazerem dos programas antiphishing um modo de vida.
Por: Neal Weinberg - Network World/EUA.
Nenhum comentário: