Como proteger as pessoas contra phishing e outros golpes

Se você acha que educá-los sobre maneiras de detectar e-mails suspeitos é a única resposta, pense novamente

Há cerca de 15 anos, o phishing passou de um fenômeno praticamente desconhecido para um tópico cotidiano da mídia. Com novos usuários entrando na Internet e a comercialização da Internet começando a sério, surgiram muitas oportunidades para os phishers, que se fazem passar por outra pessoa ou entidade para enganar usuários de email. Com isso, na ausência de proteções tecnológicas, os emails de phishing subitamente apareceram nas caixas postais de todos. Na prática, a única defesa foi o conselho oferecido por especialistas em segurança: cuidado com os emails mal redigidos; e não clique nos links dos emails.

Ao longo dos anos, a sofisticação dos ataques aumentou constantemente, e o número de variedades de emails fraudulentos aumentou rapidamente, com estratégias de ataque como se fazer passar por colegas (o chamado comprometimento de email corporativo) aumentam drasticamente. O aumento da sofisticação resultou em mais lucros, levando mais criminosos a tentarem a sorte nesse tipo de fraude.

Corporações e outras organizações continuam acreditando que podem treinar seus usuários para evitar ataques cibernéticos. O Gartner estima que o mercado de treinamento em conscientização sobre segurança crescerá a uma taxa de crescimento anual composta de 42% até pelo menos 2023, com uma base em 2018 de 451 milhões de dólares.

Mas atualmente a ênfase tradicional na educação do usuário é uma despesa e um incômodo para o usuário final que podem não ser justificáveis pelos resultados. À medida que as técnicas de fraude online proliferam e se tornam mais sofisticadas, torna-se cada vez mais difícil que o usuário detecte as fraudes. O retorno do investimento em qualquer esforço de conscientização de segurança caiu drasticamente.

A conscientização do usuário não deve mais ser a principal defesa contra a engenharia social. De fato, a tecnologia do crime cibernético evoluiu a tal ponto que só pode ser derrotada de forma confiável com a tecnologia oposta. Humanos sem ajuda não são mais capazes de se defender adequadamente contra o cibercrime, assim como lutadores com arcos e flechas não podem derrotar inimigos armados com helicópteros de ataque.

A maioria das defesas é mais adequada para algoritmos do que para usuários finais. Em vez disso, os profissionais de segurança e gerenciamento de riscos devem educar os usuários finais apenas sobre as ameaças que possam razoavelmente detectar, enquanto usam defesas técnicas para a grande maioria dos ataques.

No início, os ataques de phishing “tradicionais” foram relatados com eficiência da ordem de 3%, o que significa que a grande maioria das vítimas pretendidas não caiu nos ataques. Por outro lado, sabe-se que ataques sofisticados, como spear phishing, apresentam eficiência superior a 70%.

Os emails de phishing bem elaborados (assim como outros tipos de emails enganosos) são muito difíceis de serem identificados pelos usuários comuns.

Alguns tipos de ataques são quase impossíveis de identificar, mesmo para usuários altamente técnicos. Considere, por exemplo, um ataque no qual o invasor já teve acesso a uma conta de email legítima (enganando seu proprietário) e use essa conta comprometida para atacar os contatos do usuário.

Outros ataques, como aqueles que usam nomes e endereços forjados para se passar por um colega da vítima, são mais fáceis de identificar, pelo menos em teoria. Inspecionando sempre o endereço de email do remetente e certificando-se de que este é um usuário conhecido, é possível evitar cair em tais ataques. No entanto, o aumento do cuidado tem um preço: para cada etapa extra adicionada às tarefas rotineiras, nossa produtividade naturalmente cai.

Além disso, esses ataques são difíceis de detectar na prática, devido a erros humanos: muitas pessoas, pelo menos ocasionalmente, enviam emails acidentalmente de contas pessoais em vez de contas profissionais e vice-versa, criando uma ambiguidade sobre o que é confiável e o que não é confiável. Como resultado, 1 em cada 10 usuários clica em emails com nomes de exibição fraudados, conforme relatório da empresa de segurança Barracuda.

Dados os orçamentos finitos, tanto em termos financeiros quanto de atenção, as empresas e os indivíduos devem decidir quais batalhas de conscientização escolher, com base no que as pessoas enfrentam e em que tipos de contramedidas automatizadas funcionam bem. Pegue, por exemplo, o conselho “se parece bom demais para ser verdade, provavelmente é” – assim como a variante “se parece ruim demais para ser verdade, provavelmente é”. As pessoas têm emoções e julgamento para avisá-las quando algo cai nessa categoria; mas, até agora, os computadores não têm. Consequentemente, isso é algo digno de uma campanha de conscientização.

Por outro lado, o uso de nomes e endereços forjados é relativamente difícil para pessoas detectarem, mas é fácil para computadores detectarem. Esse é um problema em que as defesas automatizadas são mais adequadas do que os esforços de conscientização.

Tanto para a saúde digital quanto para a saúde humana, a influência relativa de comportamento versus tecnologia é a mesma. Desde a época em que são crianças pequenas, os humanos são ensinados a evitar riscos à sua segurança: não coma sujeira, não atravesse a rua sem olhar para os dois lados, não fume. Mas os grandes ganhos na expectativa de vida alcançados ao longo do último século vieram principalmente dos avanços na tecnologia médica para combater doenças.

A receita também é a mesma: para a saúde humana, cuide-se e evite riscos comuns, mas, se necessário, procure um bom médico e tome corretamente os remédios. Para saúde eletrônica, ensine a seus usuários os cuidados digitais básicos, mas comprometa-se também a estar sempre um passo à frente do inimigo nessa inevitável disputa tecnológica.

para a saúde humana, cuide-se e evite riscos comuns, mas, se necessário, procure um bom médico e tome corretamente os remédios. Para saúde eletrônica, ensine a seus usuários os cuidados digitais básicos, mas comprometa-se também a estar sempre um passo à frente do inimigo nessa inevitável disputa tecnológica

Fonte: https://blogs.scientificamerican.com/observations/how-to-protect-people-against-phishing-and-other-scams/


Tecnologia para segurança e proteção contra phishing

É importante utilizar antivírus no computador. No caso das empresas, é cada vez mais relevante usar também sistemas como firewall e controle do acesso à internet aplicados em toda a rede da empresa, independentemente dos dispositivos conectados na rede interna. Essa medida adiciona uma camada de segurança complementar, que reduz o risco de vazamento e perda de informações da empresa e dados de clientes e colaboradores, evitando grandes transtornos e perdas financeiras. Através de uma solução de controle de acesso à internet, também é possível definir que categoria de site poderá ser acessada por cada usuário, evitando desperdícios com navegação fora do escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

No vídeo abaixo demonstramos o funcionamento de um phishing recebido por e-mail, que se faz passar pelo serviço de pagamentos PagSeguro com objetivo de roubar dados de acesso da vítima. Primeiro é demonstrado o acesso ao site de phishing sem proteção. Depois é demonstrada uma tentativa de acesso ao site de phishing porém com a proteção do Lumiun ativa na rede da empresa.

Dessa maneira, o vídeo apresenta um comparativo da eficácia de um ataque Phishing em uma rede desprotegida e outra com tecnologia de segurança e proteção.

Lumiun DNS integração com software pfsense
Teste grátis Lumiun DNS
2 comentários

Comentários fechados

Posts Relacionados