top of page
faixa teste.png

Blog INFOSW

TROFÉU DE PHISHING

Não seja o próximo troféu na parede de um hacker

 

Há uma razão bem simples para a grande quantidade de e-mails de phishing – eles ainda funcionam.


As pessoas continuam clicando nos links e fazendo download dos arquivos, então por que os hackers deveriam parar de enviá-los?



Os hackers estão à caça de sua próxima grande vítima para ganhar muitos troféus de phishing. Eles só estão esperando que você morda a isca.


Sei que você pode estar pensando aqui na minha empresa isso não acontece. Será?


Podemos afirmar que 90% dos ataques começam com um ataque de phishing. Além disso, 76% das empresas, afirmam já terem sido vítimas de um ataque de phishing, no ano passado.


Hoje existem inclusive, ferramentas de testes de phishings, ou seja, as próprias organizações, querem entender o quanto seus funcionários estão conscientizados sobre esse tipo de ataque.


Com o resultado desse trabalho, fica mais fácil para a área de TI, elaborar um planejamento e estratégia de conscientização de seus funcionários, e minimizar esse risco, pois já se é sabido que zerar será impossível.

FORMAS DE INVADIR E-MAILS


  • Spear phishing

  • Phishing

  • Whaling executivo

  • Engenharia social

Spear phishing

Ataques de spear phishing utilizam uma abordagem muito mais direcionada, por isso, o hacker precisa estudar a vítima antes de produzir o e-mail perfeito.


Whaling executivo

Tem como alvo os principais executivos e administradores, com foco no desvio de dinheiro de contas bancárias ou roubo de dados confidenciais.


Phishing

E-mails de phishing adotam um enfoque de abrangência de larga escala para

atacar usuários e obter informações confidenciais.


Engenharia social

Uma forma de minar informações dos sites de mídias sociais para obter ideias para elaborar os e-mails de ataque.



QUEM SÃO OS PRINCIPAIS ALVOS NA SUA ORGANIZAÇÃO?


Cada camada da sua empresa tem um troféu só esperando para ser fisgado pelos anzóis dos hackers.


A melhor maneira de proteger esses alvos é saber o tipo de isca que o hacker tentará usar e ensinar os funcionários a identificar essas ameaças quando elas aparecerem em suas caixas de entrada. Saiba mais sobre os 5 principais alvos em sua organização e as iscas que os hackers usaram contra eles:


ALVO 1: CEO

Isca: Do departamento jurídico - “Estamos sendo processados"


Para os hackers, é bem fácil encontrar informações sobre uma empresa. Apenas uma pesquisa rápida na página da empresa ou em sites de mídia social, como o LinkedIn, já os ajuda a encontrar facilmente os nomes e endereços de e-mail dos membros das equipes dos departamentos financeiro e jurídico.


Um simples e-mail com um endereço falsificado de um encarregado do departamento jurídico e uma linha de assunto com uma ameaça de ação judicial já bastam para fazer com que até mesmo um CEO clique em qualquer link.


ALVO 2: FINANÇAS

Isca: Do CEO - “Eu preciso que você transfira estes fundos!"


Se o CEO pedir para você fazer algo, normalmente é de seu interesse fazer o que ele ou ela estiver pedindo (dentro do razoável). Portanto, se você for do departamento jurídico, e se o CEO pedir que você transfira alguns fundos, por que você discordaria? Os hackers entendem isso, e é por isso que eles sempre falsificam um e-mail do chefe para fazer com que qualquer funcionário aja rápido. Se os alvos morderem a isca e clicarem no link de transferência, estarão entregando as informações da conta diretamente para o hacker.

ALVO 3: VENDAS

Isca: De um cliente em potencial - “Sou sua próxima grande venda!”


Os profissionais de vendas estão acostumados a responder e-mails e ligações de clientes em potencial. Vivem ansiosos para responder a qualquer e-mail que possa ser a próxima grande chance.

É bem fácil para um hacker encontrar as informações de representantes de vendas (afinal, eles certamente têm contas no LinkedIn) e ele sabe com toda a certeza de que qualquer e-mail recebido por um deles será, no mínimo, aberto. Um roubo de credenciais desses usuários forneceria acesso as listas de clientes, tabelas de preços e informações de negócios confidenciais.

O roubo de suas contas também foi um novo vetor de ataques de phishing aos membros dos departamentos financeiro, administrativo e de contabilidade, que confiaram nas mensagens dos representantes de vendas.

Esse é um troféu de phishing que leva a muitas outras ótimas conquistas!


ALVO 4 - RECURSOS HUMANOS

Isca: De um candidato a uma vaga interna - “Contrate-me!”


Independentemente das práticas padrão, os membros da sua equipe de recursos humanos estão acostumados a receber currículos por e-mail. Embora nem todos esses e-mails sejam abertos, os hackers sabem que, se criarem o e-mail certo, há chances de que a equipe de RH possa abrir o e-mail e fazer download do anexo. A partir disso, o hacker tem acesso a informações confidenciais dos funcionários, incluindo números de identidade, endereços, números de telefone e até mesmo contatos de emergência. Eles podem até obter acesso a informações médicas ou fornecedores de planos de previdência privada que podem prepará-los para o próximo grande ataque contra sua organização.


ALVO 5 - OPERAÇÕES/OPERACIONAL

Isca: De uma transportadora - “Seu pacote foi extraviado”


Arquivos anexos de pacotes de pedidos da UPS e da FedEx são uma outra estratégia comum usada por invasores para obter acesso à sua empresa. Os membros da equipe de operações e instalações (ou até a equipe regular, que normalmente recebe os pacotes) estão acostumados a receber esses tipos de e-mails com um anexo que contém informações importantes sobre o envio de um pacote. Linhas de assunto como “pacote perdido” ou “problema com a entrega” certamente atrairão a atenção deles.


Os hackers sabem que, mesmo se essa parte da sua organização não estiver

esperando uma encomenda, é muito provável que eles ainda assim abram o e-mail e cliquem no link ou baixe o anexo, sei que pode parecer mentira, mas na maioria dos casos é instinto humano.


COMO MANTER-SE LONGE DO ANZOL DE UM HACKER


Embora esses ataques de phishing sejam muito perigosos, ter as defesas certas em funcionamento pode manter você, seus funcionários e seus clientes protegidos.


A Infosw Tecnologia, representa um portfólio robusto de soluções para segurança e assim garantir que sua empresa esteja segura em todas as camadas e contra todo tipo de ataque.


Que tal realizar um teste de phishing na sua empresa? Fale conosco e vamos analisar o resultado!



 



Posts recentes

Ver tudo

Comentarios


bottom of page