Balanço de ações phishing: você sabe quanto custa um clique?
Enganar pessoas para que elas compartilhem informações confidenciais como senhas, números de cartões, entre outros tipos de dados pessoais é crime. Phishing, como é conhecido, é um dos mais comuns tipos de ciberataque e é preciso atenção aos e-mails que recebemos. Com o intuito de instruir colaboradores da MRS, a equipe de Segurança da Informação preparou uma ação para identificar pessoas que não estão atentas aos perigos relacionados à segurança de dados.
“É importante saber que os métodos de ataques estão se tornando ainda mais variados e cada vez mais profissionais. Sites falsos parecem reais à primeira vista. Porém, se você olhar com atenção, perceberá que links com sites falsos contêm alterações pequenas, como erros de português. Vai uma dica: O cibercriminoso é preguiçoso e sempre deixa uma falha”, explica a analista de Suporte da Segurança da Informação Dayane Miranda.
A ação foi feita por meio de dois e-mails: um corporativo e um outro de uma propaganda de um aplicativo de alimentos, em que era solicitado aos colaboradores o fornecimento de alguns dados. Ao todo, 2.780 pessoas receberam os disparos de phishing. O comportamento dos usuários foi dividido entre não evidencia risco para a MRS; considerado uma taxa crítica de risco; indica maior risco para a empresa.
Na amostragem, 2.148 pessoas abriram o e-mail, mas não clicaram em anexos e nem forneceram dados, o que não gera riscos para a segurança da empresa. 523 pessoas clicaram nos anexos, número que representa bastante risco, já que basta que uma pessoa clique para que haja o fornecimento de alguns dados importantes para o atacante, como Sistema Operacional (SO) utilizado, endereço de IP, geolocalização, nome e versão do navegador, podendo resultar em execução de scripts maliciosos, instalação de malwares nos dispositivos usados, assim como ocasionar danos no equipamento ou na rede.
O número que mais preocupa: 409 pessoas abriram, clicaram e submeteram dados por meio das páginas falsas, o que representa um alto risco, tanto para as próprias pessoas quanto para a empresa. Um atacante com essas informações pode acessar as contas bancárias da vítima e fazer retiradas, extorquir a vítima em troca de sigilo de informações comprometedoras ou sensíveis, aplicar golpes em familiares ou até mesmo se passar por funcionário de uma organização a partir do login de acesso da vítima. Além disso, ainda podem promover ataques que podem paralisar as operações das organizações por dias, semanas ou até meses, além de gerar prejuízos financeiros à imagem e à reputação.
Esses números representam apenas uma simulação feita pela equipe de Segurança da Informação, contudo, são muito preocupantes, visto que em um ataque real, muitos dados poderiam ser comprometidos e expostos, gerando prejuízos incalculáveis.
Reportar Phishing
Aqui vão algumas dicas da equipe de Segurança da Informação de como reportar um phishing:
É preciso ficar atento, por isso, desconfie de e-mails que você não está acostumado a receber. Para uma navegação segura:
1. Sempre preste atenção no que você compartilha e recebe. Não morda a isca dos títulos urgentes ou oferecendo prêmios de sorteios, tenha atenção especial e verifique a fonte da notícia. Segurança também é sua responsabilidade;
2. NÃO clique em nenhum link antes de verificar o remetente;
3. Marque URL importante como favoritas. Assim você sempre acessará a página correta;
4. Saiba com quem você está compartilhando conteúdos e informações em suas redes sociais. Essas informações podem ser facilmente utilizadas para ataques de engenharia social, em que o cibercriminoso estuda os comportamentos e compartilhamentos;
5. Conecte-se com sua equipe antes de tomar decisões precipitadas e nunca clique em links que pareçam suspeitos; e
6. Lembre-se que, na sua casa, você também deve adotar atitudes seguras.
Logo após receber o e-mail falso da ação de phishing, o especialista ferroviário Rafael Camilo agiu conscientemente e reportou ao time de Segurança da Informação a mensagem suspeita. A equipe apelidou Rafael de “firewall humano” pela atitude exemplar.
“Os casos de e-mails falsos ou com possíveis fraudes estão frequentes e a equipe de Segurança da Informação da MRS, assim como a mídia em geral, está nos alertando constantemente. Quando recebo e-mails suspeitos, alguns bem interessantes, inclusive, vejo se o endereço do remetente ‘faz sentido’ e procuro a informação sem usar os links recebidos. Nunca acredito serem verdadeiros, até que eu prove o contrário. Precisamos ficar alerta!” comenta.
Caso você receba alguma mensagem suspeita, reporte à equipe de Segurança da Informação. Para isso, clique no ícone “Report phishing”, no topo do e-mail, e depois clique em relatar. O e-mail será automaticamente encaminhado para a área responsável.
Para habilitar o ícone de “Report phishing”, siga o passo a passo:
1- Clique no ícone de Configurações (disponível na mesma linha que aparece sua foto, no canto superior direito da janela do e-mail);
2- Clique na opção “Exibir todas as configurações do Outlook”;
3- Selecione “E-mail”;
4- Em seguida, clique em “Personalizar ações”; e
5- Entre as opções disponíveis, habilite “Relatar mensagem” e “Report Phishing“
Pronto! Seu Report Phishing está habilitado.
|Publicado em 9.7.2021