7 dicas para proteção “spear phishing”

O Exclusive Group divulga que de acordo com o 2018 Verizon Data Breach Report, o phishing e pretexting são os dois esquemas favoritos usados em ataques de engenharia social, representando cerca de 98% e 93% das violações de dados, respetivamente.

O Spear Phising é um ataque direcionado a um target definido, para o qual o hacker cria uma narrativa falsa ou se faz passar por uma pessoa de confiança, para roubar credenciais ou informações que podem ser usadas para infiltrar-se nas suas redes, ou até para instalar malware. Geralmente, é um e-mail para um indivíduo ou grupo segmentado que parece vir de uma fonte segura ou conhecida.

A Exclusive Networks em conjunto com a Varonis, marca que distribui em Portugal, divulgam as 7 dicas para ajudá-lo (e à sua empresa) a evitar ser vítima de um ataque de spear phishing. A Varonis oferece uma plataforma de gestão e controlo dos dados não estruturados, onde quer que estejam, ajudam as empresas a monitorizar e analisar cada toque em cada arquivo de dados e a salvaguardarem os mesmos de ações maliciosas. O DatAdvantage facilita a visualização de quem está a fazer o quê. Rastreia e monitoriza as atividades, analisa o comportamento dos utilizadores e reporta todas as ações que estão a acontecer nos servidores e NAS. Com base neste conhecimento e experiência de mercado a Varonis sugere, assim, algumas dicas de prevenção. Confira as suas melhores práticas e fique alerta!

1. Seja cético: se quer evitar ser enganado, precisa fazer perguntas a si e a quem lhe envia o email ou mensagem. Como regra geral, não cumpra imediatamente a primeira solicitação recebida. Faça uma pergunta: “por que preciso disto?” “O que podem fazer com estes dados?” “Não, eu não vou comprar um cartão-presente.”
2. Esteja ciente da sua presença on-line: os praticantes de spear phishing dependem de uma certa quantidade de familiaridade com o alvo. Quanto mais informações partilha com o público em geral, mais informação estará a passar a um spear phisher.
3. Inspecione o link: inspecione visualmente os links que recebe nos seus e-mails passando o rato sobre eles. Os hackers são muito bons em mascarar URLs ou fazê-los parecidos o suficiente para enganar os nossos cérebros, fazendo-nos pensar que estão bem. Verifique e valide bem os links.
4. Não clique no link: em vez de clicar no link do e-mail, utilize o seu browser e navegue manualmente até ao destino. Evitar um link enviado no e-mail de um spear phisher é meio caminho andado para garantir que não está a ser direcionado para um website malicioso. Crie o hábito de aceder aos sites em que confia, não através do clique no link, mas através do endereço https e use os seus favoritos para acompanhar esta navegação.
5. Seja esperto com as suas passwords: todos nós sabemos que um computador moderno pode facilmente quebrar uma senha curta. Deve usar passwords com pelo menos 16 caracteres alfanuméricos: anotá-los ou usar um serviço gerador de passwords. Alterar as senhas regularmente e praticar a segurança básica da Internet para manter os seus dados seguros também é recomendável.
6. Mantenha o seu software atualizado: os especialistas de segurança e os fornecedores de malware estão hoje numa autêntica corrida cibernética que nos prende a todos no meio. Os especialistas de segurança fazem o melhor para atualizar os seus antivírus e o software de segurança para atender aos mais recentes ataques conhecidos e às vulnerabilidades de patch. Mas a evolução e as oportunidades de ataque são constantes. Como consumidor, é importante manter-se atualizado: corrigir vulnerabilidades e atualizar configurações de segurança e software.
7. Implemente uma estratégia de segurança de dados para toda a empresa: Se 1 em cada 100 tentativas de spear phishing for bem-sucedida, é mais do que provável que alguns dos seus dados sejam comprometidos. Um utilizador comprometido pode colocar toda a rede em risco. Implemente uma técnica de segurança em camadas para proteger a sua empresa contra o spear phishing – e nunca subestime o valor de educar os funcionários com formação de consciencialização de segurança.