O phishing é um golpe bem-sucedido que provavelmente veio para ficar e se tornar mais eficaz. Da confiança excessiva na tecnologia ao treinamento confuso e contraproducente, aqui estão cinco razões pelas quais sua estratégia anti-phishing pode estar falhando.
O phishing é uma tática de ataque virtual que se assemelha a uma pesca em um barril, pois, com tempo suficiente, os agentes maliciosos conseguem capturar uma vítima. Uma vez que eles identificam organizações vulneráveis, tendem a continuar atacando.
Johanna Baum, CEO e fundadora da Strategic Security Solutions Consulting, destaca que os malfeitores são altamente motivados e financiados para atrair apenas uma vítima, o que torna a proteção de todas as possíveis vítimas uma tarefa crucial para as organizações. Portanto, negligenciar ou julgar mal a higiene da segurança de TI aumenta significativamente a suscetibilidade a um ataque, mesmo que a organização esteja seguindo protocolos rigorosos e oferecendo treinamento aos funcionários.
Os ataques de phishing estão se tornando mais sofisticados
Os ataques de phishing estão evoluindo para táticas mais sofisticadas, alerta Krissy Safi, diretor administrativo da Protiviti. As soluções anti-phishing que dependem de regras estáticas estão se tornando ineficazes, já que os invasores usam técnicas cada vez mais avançadas e chatbots para tornar seus ataques mais críveis. A introdução do ChatGPT tornou ainda mais difícil detectar e-mails de phishing, já que eles agora apresentam uma gramática perfeita e sem inglês quebrado.
Além disso, a comunicação roubada de uma empresa pode se tornar uma ferramenta poderosa para os criminosos. Eles podem aprender em tempo real o que funciona e o que não funciona, aumentando a probabilidade de sucesso de seus ataques. Isso foi visto na violação da empresa de comunicações em nuvem Twilio em 2022, onde os invasores usaram engenharia social para obter acesso aos sistemas internos e aos dados dos clientes da empresa. É essencial que as organizações estejam preparadas e atualizem suas defesas para se proteger contra essas ameaças em constante evolução.
Apostando tudo em tecnologia
Muitas empresas estão investindo em tecnologia para combater o phishing, mas Eric Liebowitz, diretor de segurança da informação do Thales Group, acredita que elas não estão prestando atenção suficiente ao treinamento de seus funcionários. Segundo ele, mesmo tendo as melhores ferramentas, se os funcionários não estiverem treinados, a segurança da empresa estará comprometida.
Justin Haney, líder de segurança da Avanade na América do Norte, acrescenta que, embora algumas empresas tenham as ferramentas certas para combater o phishing, elas muitas vezes não as configuram adequadamente. Ferramentas de detecção de e-mail maliciosos, por exemplo, podem não ser bloqueadas automaticamente, exigindo ação manual por parte dos analistas. Haney sugere a implantação de tecnologias SIEM e SOAR, que permitem a configuração de respostas automáticas a possíveis campanhas de phishing.
Embora a tecnologia seja importante no combate ao phishing, investir apenas em ferramentas não é suficiente. É necessário treinar os funcionários para reconhecer e denunciar atividades suspeitas, além de configurar adequadamente as ferramentas de segurança. A combinação de treinamento e tecnologia é essencial para proteger as organizações contra as crescentes ameaças de phishing.
Para uma varredura completa de seus ambientes, incluindo a prevenção de sequestro de domínios e o monitoramento de eventos em seu ambiente cibernético através de um SIEM, é recomendado uma solução SOC com a melhor equipe de segurança e os melhores softwares.
Não adotar uma estratégia holística de defesa em profundidade
Algumas organizações estão adotando estratégias anti-phishing falhadas ao não considerar uma abordagem holística de defesa em profundidade, de acordo com Justin Haney. Em vez disso, essas organizações estão se concentrando em tecnologias específicas, como anti-phishing de e-mail, autenticação multifator, criptografia de dados e segurança de endpoint/móvel, mas não estão considerando outras tecnologias que podem mitigar riscos junto com a cadeia de cibercrime, como a detecção de identidades comprometidas. Essa abordagem é inerentemente falha, pois as pessoas são propensas a cometer erros, e apenas um erro pode permitir que um invasor tenha sucesso.
Bryan Willett, CISO da Lexmark, afirma que o problema de não implementar uma estratégia holística de defesa em profundidade é que basta um ataque bem-sucedido para derrubar todo o sistema. Em vez de confiar em uma única abordagem, a melhor maneira de se defender contra ataques de phishing é por meio de uma abordagem de defesa em camadas. Isso inclui um bom sistema de detecção e resposta de endpoint (EDR) em cada estação de trabalho, um forte programa de gerenciamento de vulnerabilidade, autenticação multifator para cada usuário e conta de administrador e segmentação na LAN/WAN para limitar a propagação de um sistema infectado.
Willett destaca que uma organização deve assumir que o atacante terá sucesso em algum momento, e por isso é importante defender com essa suposição em mente, usando uma abordagem abrangente e em camadas de defesa. Ao tomar essas precauções e implementar várias camadas de defesa, uma organização pode se proteger melhor contra um ataque de phishing.
Deixar de treinar funcionários para reconhecer tentativas de phishing
Jim Russell, diretor de informações do Manhattanville College em Harrison, Nova York, argumenta que os empregadores precisam educar seus funcionários sobre como reconhecer e-mails fraudulentos, além de treiná-los para não clicar em links ou abrir anexos em e-mails de remetentes desconhecidos. Ele destaca a importância da “voz autêntica” como um dos elementos mais importantes no reconhecimento de um e-mail fraudulento. Os funcionários do Manhattanville College também foram treinados para encaminhar qualquer e-mail suspeito aos membros da equipe de Russell, o que determinará sua autenticidade.
Kevin Cross, CISO da Dell Technologies, concorda que uma estratégia anti-phishing bem-sucedida precisa começar conscientizando os funcionários sobre como identificar um e-mail de phishing e entender como denunciá-lo. Ele argumenta que ensinar os funcionários a relatar e-mails suspeitos permite que as equipes de segurança avaliem rapidamente a ameaça potencial e mitiguem os efeitos de outros alvos de um ataque semelhante. As organizações também podem incorporar ferramentas em suas plataformas de e-mail para tornar mais fácil para os trabalhadores relatar e-mails suspeitos, diz Cross.
No entanto, Jacob Ansari, líder nacional em segurança cibernética da Mazars, alerta que o treinamento de usuários para detectar ataques de phishing só é eficaz enquanto os esquemas de phishing forem distinguíveis das atividades comerciais legítimas. Ele argumenta que as organizações precisam se envolver com os líderes de negócios para reprojetar os processos de negócios para que não pareçam mais com esquemas de phishing, minimizando o uso de links de clique em e-mails e exigindo interações de terceiros com os funcionários para seguir os padrões da empresa para comunicações seguras.
Falta de fiscalização/Falta de incentivos
A falta de fiscalização e incentivos pode minar a eficácia dos programas de treinamento de uma empresa, segundo o especialista Safi. Ele enfatiza que é crucial haver consequências para os funcionários que violarem as políticas da empresa, como não denunciar um e-mail de phishing. A ideia é incentivar um comportamento melhor no futuro.
O Manhattanville College adota uma abordagem interessante para combater o phishing. Funcionários que clicam em um link de phishing devem concluir uma sessão de treinamento online, enquanto aqueles que fornecem suas credenciais precisam fazer três sessões. Além disso, o responsável pelo treinamento no campus revisa a lista de infratores, dando atenção especial aos reincidentes e às pessoas com privilégios elevados, que recebem uma reprimenda intensa.
Essas medidas são importantes para educar os funcionários e garantir que estejam cientes dos riscos associados ao phishing. Com consequências claras, eles têm mais incentivos para seguir as políticas da empresa e ajudar a proteger seus sistemas e informações.
Para saber mais, clique aqui.