Ataques de phishing: defendendo a sua organização

phishing email

Introdução ao phishing

Ataques de phishing: defendendo sua organização” oferece um conjunto de ações de mitigação, divididas em várias camadas, para melhorar a resiliência de sua organização contra ataques de phishing e, ao mesmo tempo, reduzir o impacto na produtividade do usuário. As defesas sugeridas neste guia também são úteis contra outros tipos de ataque cibernético e ajudarão sua organização a se tornar mais resiliente em geral.

  • As orientações são destinadas às equipes de tecnologia, de operações ou de segurança responsáveis por projetar e implementar defesas cibernéticas para organizações de médio a grande porte. Isso inclui a equipe responsável pelo treinamento de phishing.
  • Funcionários de organizações menores também acharão esta orientação útil, mas devem consultar outros guias de pequenas empresas antes de prosseguir.
  • As recomendações terminam com um exemplo do mundo real, que ilustra como uma abordagem em várias camadas evitou que um ataque de phishing danificasse uma grande organização do setor financeiro.

Observação: As ações de mitigação incluídas neste guia exigem uma combinação de abordagens tecnológicas, de processo e baseadas em pessoas. Elas devem ser consideradas como um todo para que suas defesas sejam realmente eficazes. Por exemplo, se você deseja encorajar as pessoas a relatar e-mails suspeitos, você precisa fornecer condições de treinamento de pessoal e disponibilizar os meios, além de um processo que permita um feedback oportuno sobre o e-mail enviado.

O que é Phishing?

Phishing é quando atacantes tentam induzir os usuários a fazer ‘a coisa errada’, como clicar em um link que fará o download de um malware ou direcioná-los para um site suspeito.

O Phishing pode ser realizado por meio de mensagem de texto, mídia social ou telefone, mas o termo ‘phishing’ é usado principalmente para descrever ataques que chegam por e-mail. Os e-mails de Phishing podem atingir milhões de usuários diretamente e se esconder entre o grande número de emails da caixa de entrada que usuários ocupados recebem. Os ataques podem instalar malware (como ransomware), sistemas de sabotagem ou roubar propriedade intelectual e dinheiro.

Os e-mails de Phishing podem atingir uma organização de qualquer tamanho e tipo. Você pode ser pego em uma campanha em massa (onde o invasor está apenas tentando coletar algumas novas senhas ou ganhar algum dinheiro fácil), ou pode ser o primeiro passo em um ataque direcionado contra sua empresa, onde o objetivo pode ser algo muito mais específico, como o roubo de dados confidenciais. Em uma campanha direcionada, o invasor pode usar informações sobre seus funcionários ou empresa para tornar suas mensagens ainda mais persuasivas e realistas. Isso geralmente é conhecido como spear phishing.

Defesas contra phishing: por que você precisa de uma abordagem em várias camadas

As defesas típicas contra phishing geralmente dependem exclusivamente da capacidade dos usuários de detectar e-mails de phishing. Essa abordagem terá sucesso limitado. Em vez disso, você deve ampliar suas defesas para incluir medidas mais técnicas. Isso aumentará sua resiliência contra ataques de phishing sem interromper a produtividade dos usuários. Desta forma, você poderá ter várias oportunidades para detectar um ataque de phishing e, em seguida, interrompê-lo antes que cause danos. Você também deve reconhecer que alguns ataques passarão desapercebidos, pois isso o ajudará a se planejar contra incidentes e minimizar os danos causados.

Esta orientação divide as ações de mitigação desse risco em quatro camadas nas quais você pode construir suas defesas:

  1. Torne difícil para os invasores alcançarem seus usuários.
  1. Ajude os usuários a identificar e relatar e-mails suspeitos de phishing.
  1. Proteja sua organização contra os efeitos de e-mails de phishing não detectados.
  1. Responda rapidamente a incidentes.

Algumas das ações de mitigação sugeridas podem não ser viáveis no contexto de sua organização. Se você não pode implementar todos elas, tente resolver pelo menos algumas de cada camada.

Camada 1: Torne difícil pra os invasores alcançarem seus usuários

Esta seção descreve as defesas que podem tornar difícil para os invasores até mesmo alcançar os usuários finais

Não deixe seus endereços de e-mail serem um recurso para invasores

Os atacantes tentam montar os ataques de phishing utilizando e-mails válidos como os que você utiliza em sua empresa. Para isso usam a técnica de spoof para parecer ter sido enviado por organizações confiáveis (como a sua). Esses e-mails falsificados podem ser usados para atacar seus clientes ou pessoas de sua organização. Para minimizar está vulnerabilidades pode ser implementado um filtro anti-spoofing para que os e-mails de sua organização não sejam utilizados pelos atacantes.

Reduza as informações disponíveis para os invasores

Os invasores usam informações publicamente disponíveis sobre sua organização e usuários para tornar suas mensagens de phishing (e particularmente spear phishing) mais convincentes. Isso geralmente é obtido de seu site e de contas da mídia social (informações conhecidas como ‘digital footprint’). Sendo assim, avalie e selecione quais informações estarão disponíveis no seu website ou redes sociais, descartando aquelas que não sejam necessárias para seu negócio ou que exponha informações importantes que podem ser utilizadas em um ataque de phishing. Ajude e oriente a seus funcionários e parceiros a fazerem o mesmo.

Filtrar ou bloquear e-mails de phishing recebidos

Filtrar ou bloquear um e-mail de phishing antes que ele chegue aos usuários não apenas reduz a probabilidade de um incidente de phishing, como também reduz a quantidade de tempo que os usuários precisam gastar verificando e relatando e-mails. Seu serviço de filtragem/bloqueio pode ser um serviço integrado de provedor de e-mail baseado em nuvem ou um serviço personalizado para seu próprio servidor de e-mail. A análise sobre a filtragem ou bloqueio deve atender às demandas da organização, pois se mal feita pode afetar o próprio uso dos e-mails. Pode se usar uma variedade de técnicas para filtrar ou bloquear, seja pelo endereço IP, nome de domínio, white / black list, tipos de anexos, detecção de malware, dentre outras.

Camada 2: Ajude os usuários a identificar e relatar e-mails suspeitos de phishing

Esta seção descreve como ajudar sua equipe a identificar e-mails de phishing e como melhorar sua cultura de relatórios.

Considere cuidadosamente sua abordagem ao treinamento de phishing

Treinar seus usuários – especialmente na forma de simulações de phishing – é a camada que costuma ser bem enfatizada na defesa contra phishing, até demais. Seus usuários não podem compensar os pontos fracos da segurança cibernética em outros lugares. Responder a e-mails e clicar em links é uma grande parte do ambiente de trabalho moderno, por isso não é realista esperar que os usuários permaneçam vigilantes o tempo todo.

Identificar e-mails de phishing é difícil, e spear phishing é ainda mais difícil de detectar. Mesmo os especialistas em segurança podem falhar nesta tarefa. O conselho dado em muitos pacotes de treinamento, com base em avisos e sinais padrão, ajudará seus usuários a identificar alguns e-mails de phishing, mas eles não podem ensinar todos a identificar todos os e-mails de phishing.

Então como fazer isso?

Deixe claro que identificar um phishing pode ser difícil, mas todos podem ajudar. Em nenhuma hipótese penalize seu usuário, pois isto fará com que os demais não relatem por “medo” de represálias.
Encorage seus funcionários a relatar em casos suspeitos, pois poderá ajudar no futuro em casos reais que venham a ocorrer, além de clarear a dúvida junto ao departamento de suporte de TI. O incentivo desta prática deve também alcançar ao setor de RH, suporte de TI e gestão, para que estejam alinhados nessa ação de mitigação.

Crie um ambiente que incentive os usuários a relatar tentativas de phishing

Construir uma cultura em que os usuários possam relatar tentativas de phishing (incluindo aquelas que são clicadas) lhe fornece informações vitais sobre os tipos de ataques de phishing que estão sendo usados. Você também pode saber que tipo de e-mail está sendo confundido com phishing e que impacto isso pode ter em sua organização.

Usar uma campanha de treinamento sobre ataques de phishing pode ajudar a conscientizar tanto pelo problema e riscos, quanto aos procedimentos que devem ser cumpridos pelos funcionários. Desta forma estará criando uma boa cultura de segurança.

Camada 3: Proteja sua organização contra os efeitos de e-mails de phishing não detectados

Como não é possível impedir todos os ataques, esta seção descreve como minimizar o impacto de e-mails de phishing não detectados.

Proteja seus dispositivos contra malware

O malware costuma estar oculto em e-mails de phishing ou em sites vinculados a eles. Dispositivos bem configurados e boas defesas de end point podem impedir a instalação de malware, mesmo se o e-mail for clicado. Existem muitas outras defesas contra malware e você precisará considerar suas necessidades de seguranças e formas de trabalhar para garantir uma boa abordagem. Algumas defesas são específicas para ameaças específicas (como desabilitar macros) e algumas podem não ser apropriadas para todos os dispositivos (o software anti-malware pode estar pré-instalado em alguns dispositivos e não ser necessário em outros). Outras dicas incluem manter seus softwares atualizados e livres das vulnerabilidades conhecidas; use o conceito de privilégio mínimo na configuração dos usuários em cada estação de trabalho, pois contas de nível administrador não deveriam ser usadas para abertura de e-mails. Finalmente, o impacto do malware em seu sistema mais amplo dependerá de como seu sistema foi configurado.

Proteja seus usuários de sites maliciosos

Links para sites maliciosos geralmente são uma parte importante de um e-mail de phishing. No entanto, se o link não conseguir abrir o site, o ataque não poderá continuar. Uma medida que pode ser utilizada é o emprego de um servidor proxy para bloquear tentativas de acesso a sites maliciosos oriundas da rede interna.

Proteja suas contas com autenticação e autorização eficazes

As senhas são um alvo importante para invasores, principalmente se forem para contas com privilégios, como acesso a informações confidenciais, manuseio de ativos financeiros ou administração de sistemas de TI. Você deve tornar seu processo de login para todas as contas mais resistente a phishing e limitar o número de contas com acesso privilegiado ao mínimo absoluto.o uso de fator de dupla autenticação também é recomendado, bem como a verificação frequente das contas dos usuários, eliminando aquelas que não mais estão sendo usadas, dentre outras medidas de controle de acesso.

Camada 4: Responder rapidamente a incidentes

Todas as organizações enfrentarão incidentes de segurança em algum momento, portanto, certifique-se de que você esteja em uma posição para detectá-los rapidamente e responder de forma planejada.

Detecte incidentes rapidamente

Saber sobre um incidente mais cedo ou mais tarde permite que você limite os danos que ele pode causar. O uso de um sistema de log seguro pode ajudar nesta etapa.

Tenha um plano de resposta a incidentes

Depois que um incidente é descoberto, você precisa saber o que fazer para evitar mais danos o mais rápido possível.

algumas recomendações podem atender a esta camada, como ter bem documentada quais os procedimentos para uma senha que foi vazada, como realizar o reset da senha comprometida, quem é o responsável pela limpeza do malware na máquina infectada e como fazer isto, etc.

A melhor maneira de verificar se o plano de resposta a incidentes está funcionando é testando, seja em ambiente simulado ou no dia a dia de sua empresa.

Informações obtidas/adaptadas de: https://www.ncsc.gov.uk/guidance/phishing