Não sabote sua própria segurança, treine seus usuários

Acho que a primeira vez que vi um e-mail de phishing foi em 2000, enquanto trabalhava em um projeto de teste com Oliver Rist, que agora é editor de negócios da PCMag. Certa manhã, nós dois recebemos e-mails com o assunto "Eu te amo", que também era o corpo do e-mail e havia um anexo. Nós dois sabíamos instantaneamente que o e-mail tinha que ser falso porque, como editores de revistas, sabíamos que ninguém nos amava. Não clicamos no anexo. Na verdade, estávamos agindo como firewalls humanos. Reconhecemos um e-mail falso à vista e o excluímos em vez de deixar seu conteúdo se espalhar em nossos computadores e no resto da rede.

Mesmo naquela época, ataques como esses eram chamados de "engenharia social" pelo conjunto de hackers. Hoje, os e-mails de phishing são provavelmente a versão mais conhecida desse tipo de exploração. Eles visam principalmente a obtenção de credenciais de segurança, mas também são capazes de fornecer outros tipos de malware, especialmente ransomware. Mas vale a pena notar que existem outros tipos de ataques de engenharia social além do phishing, incluindo alguns em que o ataque é físico e não estritamente digital.

Humanos: Ainda um vetor líder de ataque

A razão pela qual os e-mails de phishing são tão amplamente conhecidos é porque são muito comuns. Até agora, é justo dizer que qualquer pessoa com uma conta de email receberá um email de phishing em algum momento. O e-mail frequentemente finge ser do seu banco, da empresa do seu cartão de crédito ou de algum outro negócio que você frequenta. Mas os e-mails de phishing também podem ser uma ameaça para sua organização, pois os invasores tentam usar seus funcionários contra você. Outra versão inicial desse ataque ocorreu durante a era de ouro do envio de fax, quando os atacantes simplesmente enviavam uma fatura por serviços nunca prestados a grandes empresas, na esperança de que executivos ocupados as enviassem para pagamento.

O phishing é surpreendentemente eficaz. De acordo com um estudo do escritório de advocacia BakerHostetler, que analisou 560 violações de dados no ano passado, o phishing é a principal causa de incidentes de segurança de dados atualmente.

Infelizmente, a tecnologia não alcançou ataques de phishing. Embora existam vários dispositivos de segurança e pacotes de software projetados para filtrar e-mails maliciosos, os bandidos que elaboram e-mails de phishing estão trabalhando duro para garantir que seus ataques escapem das falhas. Um estudo realizado por Cyren mostra que a verificação de email tem uma taxa de falhas de 10, 5% na localização de emails maliciosos. Mesmo em pequenas e médias empresas (SMB), isso pode gerar muitos e-mails, e qualquer um que contenha um ataque de engenharia social pode ser uma ameaça para sua organização. E não é uma ameaça geral, como seria o caso da maioria dos malwares que conseguiam se infiltrar por suas medidas de proteção de terminais, mas o tipo mais sinistro que é especificamente direcionado aos seus dados e recursos digitais mais valiosos.

Fui alertado sobre o relatório Cyren durante uma conversa com Stu Sjouwerman, fundador e CEO da KnowBe4, uma empresa que pode ajudar os profissionais de recursos humanos (RH) a ensinar conscientização sobre segurança. Foi Sjouwerman quem criou o termo "firewall humano" e quem também discutiu "hacking humano". Sua sugestão é que as organizações possam impedir ou reduzir a efetividade dos ataques de engenharia social com algum treinamento consistente feito de uma maneira que também envolva sua equipe na resolução do problema.

Obviamente, muitas organizações têm sessões de treinamento de conscientização sobre segurança. Você provavelmente já esteve em várias dessas reuniões nas quais café velho é combinado com rosquinhas velhas, enquanto um contratado contratado pelo RH gasta 15 minutos dizendo para você não se apaixonar por e-mails de phishing - sem realmente dizer o que são ou explicar o que fazer se você acha que encontrou um. Sim, essas reuniões.

O que Sjouwerman sugeriu que funciona melhor é criar um ambiente de treinamento interativo no qual você tenha acesso a emails de phishing reais, onde poderá examiná-los. Talvez tenha um esforço de grupo em que todos tentem ver os fatores que apontam para os e-mails de phishing, como ortografia ruim, endereços que quase parecem reais ou solicitações que, ao exame, não fazem sentido (como solicitar uma transferência imediata de fundos corporativos para um destinatário desconhecido).

Defesa contra engenharia social

Mas Sjouwerman também apontou que há mais de um tipo de engenharia social. Ele oferece um conjunto de ferramentas gratuitas no site KnowBe4 que as empresas podem usar para ajudar seus funcionários a aprender. Ele também sugeriu as nove etapas a seguir que as empresas podem adotar para combater ataques de engenharia social.

• Crie um firewall humano treinando sua equipe para reconhecer ataques de engenharia social quando os virem.
• Realize testes de engenharia social simulados e frequentes para manter seus funcionários em alerta.
• Realizar um teste de segurança de phishing; Knowbe4 tem um livre.
• Esteja atento à fraude do CEO. São ataques nos quais os atacantes criam um email falsificado que parece ser do CEO ou de outro oficial de alto escalão, direcionando ações como transferências de dinheiro com urgência. Você pode verificar se seu domínio pode ser falsificado usando uma ferramenta gratuita do KnowBe4.
• Envie e-mails de phishing simulados para seus funcionários e inclua um link que o alertará se esse link for clicado. Acompanhe quais funcionários se enquadram e se concentre no treinamento daqueles que se enquadram mais de uma vez.
• Esteja preparado para "vishing", que é um tipo de engenharia social de correio de voz na qual são deixadas mensagens que tentam obter ação de seus funcionários. Podem parecer chamadas da polícia, do Internal Revenue Service (IRS) ou mesmo do suporte técnico da Microsoft. Certifique-se de que seus funcionários saibam não retornar essas ligações.
• Alerte seus funcionários para "phishing de texto" ou "SMiShing (SMS phishing)", que é como phishing de email, mas com mensagens de texto. Nesse caso, o link pode ser projetado para obter informações confidenciais, como listas de contatos, de seus telefones celulares. Eles devem ser treinados para não tocar em links em mensagens de texto, mesmo que pareçam ser de amigos.
• Os ataques Universal Serial Bus (USB) são surpreendentemente eficazes e são uma maneira confiável de penetrar em redes com falta de ar. O modo como funciona é que alguém deixa cartões de memória USB espalhados em banheiros, estacionamentos ou outros locais frequentados por seus funcionários; talvez o bastão tenha logotipos ou rótulos atraentes. Quando os funcionários os encontram e os inserem em um computador útil - e o farão se não forem ensinados de outra forma -, o malware entrará na sua rede. Foi assim que o malware Stuxnet penetrou no programa nuclear iraniano. O Knowbe4 também possui uma ferramenta gratuita para testar isso.
• O ataque ao pacote também é surpreendentemente eficaz. É aqui que alguém aparece com uma grande quantidade de caixas (ou às vezes pizzas) e pede permissão para entrar para que possam ser entregues. Enquanto você não está olhando, eles colocam um dispositivo USB em um computador próximo. Seus funcionários precisam ser treinados realizando ataques simulados. Você pode incentivá-los treinando para isso e compartilhando as pizzas, se elas acertarem.

Como você pode ver, a engenharia social pode ser um desafio real e pode ser muito mais eficaz do que você gostaria. A única maneira de combater isso é envolver ativamente seus funcionários na detecção de tais ataques e na sua chamada. Feito corretamente, seus funcionários realmente aproveitarão o processo - e talvez também recebam pizzas gratuitas.