O fator humano, no geral, é um dos mais vulneráveis dentro das organizações. E é exatamente para se aproveitar desta situação que os cibercriminosos investem no ataque phishing.
Por isso, no post de hoje vamos entender o que é um ataque phishing e ver como preparar a sua equipe para a simulação de um ataque.
O que é phishing?
Fizemos um post anterior explicando todos os detalhes sobre esse tipo de fraude chamada de phishing.
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, utilizando tanto meios técnicos quanto de engenharia social.
Desta forma, o phishing ocorre por meio do envio de mensagens eletrônicas que objetivam:
- Simular a comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
- Atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
- Convencer o usuário a fornecer dados pessoais e financeiros, seja através de acesso a páginas falsas (que simulam a página oficial da instituição); pela instalação de códigos maliciosos, projetados para coletar informações sensíveis; ou através do preenchimento de formulários contidos na mensagem ou em páginas Web.
Assim, podemos resumir que o phishing tem como objetivo enganar uma vítima com intenção de obter suas informações pessoais, tais como:
- Senhas;
- Dados de cartões de crédito;
- Outros documentos.
O caso da GoDaddy
No final de 2020, a empresa GoDaddy enviou uma simulação para mais de 7.000 funcionários, exatamente para entender como eles se comportariam em um ataque phishing.
A simulação foi um e-mail enviado pela empresa oferecendo um bônus natalino de R$650 e pedindo para preencherem um formulário com diversos dados pessoais. Resultado: quase 500 funcionários caíram no “golpe”.
Porém, essa simulação veio a público e foi muito criticada, pois seu conteúdo (tema) mostrava total falta de sensibilidade acerca das dificuldades econômicas vividas por todos, principalmente em consequência da pandemia. Então, a empresa foi a público e desculpou-se pela simulação com conteúdo tão insensível.
Obviamente que as empresas precisam disseminar, educar e, até mesmo, simular situações de ataque, mas é necessário ter bom senso sobre como trabalhar a temática, pois o objetivo sempre deve ser educar os colaboradores acerca dos crimes cibernéticos e sobre segurança da informação, e nunca colocá-los em uma situação que traga constrangimento.
Como fazer uma simulação de ataque phishing na sua empresa
Antes de simular um ataque, é necessário preparar os colaboradores e usuários para ele. Por exemplo, quais os tipos de conteúdos e temas que os cibercriminosos se aproveitam para “jogarem a isca” para as pessoas.
Com o início da pandemia em 2020, muitos ataques phishing foram com o tema Covid-19 e alertas da Organização Mundial da Saúde (OMS).
Por isso, é importante educar os seus usuários para estarem cientes das notícias que podem ser usadas como isca.
Além disso, é importante que os usuários saibam o que é um link seguro e um link não seguro. Eduque os seus colaboradores para que eles sempre acessem links com HTTPS, ao invés de um site que comece com HTTP.
Está preocupado com a segurança da informação da sua empresa e como o fator humano (colaboradores) pode ser um ponto vulnerável da sua organização? Deixe com a Amicom: nós oferecemos soluções personalizadas para a necessidade de cada negócio, independentemente do seu segmento.
Temos soluções em segurança da informação, Gestão em TI , Consultoria LGPD e para os mais diversos setores.
Ficou curioso para conhecer um pouco mais sobre a Amicom? Fale agora mesmo conosco.
Para continuar acompanhando as novidades na área de tecnologia, governança de dados e segurança de dados, acesse nosso blog e assine gratuitamente nosso newsletter.
Tags:
Sem tags
