Segurança

Sete sugestões para evitar um ataque de spear phishing

Citando o mais recente relatório sobre vulnerabilidades de dados da Verizon, a Exclusive Networks, alerta que o tipo de ciberataque é um dos métodos de engenharia social mais fiáveis empregues pelos hackers.

O Exclusive Group e a Varonis reuniram sete sugestões para se evitarem ataques de spear phishing, com base no estudo Verizon Data Breach Report, de 2018. O phishing e pretexting são os dois esquemas favoritos usados em ataques de engenharia social, representando cerca de 98% e 93% das violações de dados, respetivamente, refere o comunicado.

Os números, acrescenta a nota, aumentam quando se fala em ataques mais direcionados a administradores executivos.

O spear phising é um ataque direcionado a um alvo definido, para o qual o hacker cria uma narrativa falsa ou se faz passar por uma pessoa de confiança. Geralmente o objetivo é roubar credenciais ou informações que podem ser usadas para infiltração em redes, ou até para instalar malware.

É vulgar materializar-se na forma de uma mensagem de correio eletrónico e-mail enviado para um indivíduo ou grupo segmentado que parece vir de uma fonte segura ou conhecida.

A Varonis oferece uma plataforma de gestão e controlo dos dados não estruturados, onde quer que estejam, para ajudar as empresas a monitorizar e analisar cada toque em cada arquivo de dados e a salvaguardarem os mesmos de ações maliciosas.

As sete sugestões

  • Seja céptico: se quer evitar ser enganado, precisa de fazer perguntas a si próprio e a quem lhe envia o email ou mensagem. Como regra geral, não cumpra imediatamente a primeira solicitação recebida. Faça uma pergunta: “por que preciso disto?”; “o que podem fazer com estes dados?”.
  • Esteja ciente da sua presença on-line: os utilizadores de spear phishing dependem de uma certa quantidade de familiaridade com o alvo. Quanto mais informações partilha com o público em geral, mais informação estará a passar a um spear phisher.
  • Inspecione o link: inspecione visualmente os links que recebe nos seus e-mails passando o rato sobre eles. Os hackers maus são muito bons em mascarar URL ou a fazê-los parecidos o suficiente para enganar, fazendo-nos pensar que são autênticos. Verifique e valide bem os links.
  • Não clique no link disponibilizado: em vez de clicar no link do e-mail, utilize o seu browser e navegue manualmente até ao destino. Evitar um link enviado no e-mail de um spear phisher é meio caminho andado para garantir que não está a ser direcionado para um site malicioso. Crie o hábito de aceder aos sites em que confia, não através do clique no link, mas através do endereço https:// e use os seus favoritos para acompanhar esta navegação.
  • Seja inteligente no uso das suas passwords: todos nós sabemos que um computador moderno pode facilmente quebrar uma senha curta. Deve usar palavras-passe com pelo menos 16 caracteres alfanuméricos, que podem anotados. Em vez disso pode usar-se um serviço gerador de passwords. Também é recomendável alterar as senhas regularmente e praticar a segurança básica da Internet para manter os seus dados seguros também é recomendável.
  • Mantenha o seu software atualizado: os especialistas de segurança e os fornecedores de malware estão hoje numa autêntica cibercorrida que nos apanha a todos no meio. Os especialistas de segurança fazem o melhor para atualizar os seus antivírus e os softwares de segurança para atender aos mais recentes ataques conhecidos e às vulnerabilidades de patch. Mas, a evolução e as oportunidades de ataque são constantes. Como consumidor, é importante manter-se atualizado: corrigir vulnerabilidades e atualizar configurações de segurança e software.
  • Implemente uma estratégia de segurança de dados para toda a empresa: se 1 em cada 100 tentativas de spear phishing for bem-sucedida, é mais do que provável que alguns dos seus dados sejam comprometidos. Um utilizador comprometido pode colocar toda a rede em risco. Implemente uma técnica de segurança em camadas para proteger a sua empresa contra o spear phishing – e nunca subestime o valor de educar os funcionários com formação de consciencialização de segurança.