Sempre digo que para se proteger contra ataques cibernéticos, precisamos ir além do básico da segurança digital.
Dean Coclin (*)
É o que eu costumo chamar de ser ciberinteligente. Uma pesquisa da Roland Berger aponta que o Brasil já superou o volume de ataques em 2020 apenas no primeiro semestre de 2021, com um total de 9,1 milhões de casos, levando em conta apenas os crimes de sequestro digital (ransomware). Esse número de ocorrências coloca o país na quinta posição no ranking mundial, atrás apenas dos EUA, Reino Unido, Alemanha e África do Sul.
Na mesma pesquisa realizada pela consultoria Roland Berger, foi feito um cálculo do dano total causado por ataques cibernéticos, com base em dados de 2020. Em média, nos maiores países europeus, os ataques cibernéticos causaram prejuízos de US$ 385 mil, aproximadamente R$ 2 milhões nas taxas atuais, por empresa, tendo como principais setores-alvo, os setores do, varejo, finanças, hotelaria e manufatura.
Mas não adianta apenas se surpreender com os números. Precisamos observar os erros que cometemos (quase) todos os dias e aprender o que podemos fazer para garantir nossa segurança digital.
A mesma (e antiga) senha
Eu sei que lembrar de todas as senhas não é simples; no entanto, usar a mesmo por anos pode colocar seus dados em risco. O fato é que algumas senhas são mais eficazes que outras. Se os dispositivos forem perdidos ou roubados, senhas fortes garantem que eles não possam ser acessados. Com tantos dispositivos e aplicativos hoje em dia, você pode considerar usar um gerenciador de senhas para simplificar o que você deve lembrar, você só precisa de uma senha segura para fazer logon e o gerenciador pode gerar senhas seguras para todo o resto. Os gerenciadores de senhas podem ser usados em vários dispositivos e as senhas também podem ser compartilhadas com outras pessoas para que você possa, por exemplo, ver as senhas de seus pais em sua própria conta.
Negligenciando os sinais de aviso de phishing
Não clique em links ou baixe nada se houver alguma dúvida sobre a legitimidade. Vá diretamente para a página da Web ou conta e entre em contato diretamente com o suporte ao cliente. Outra maneira fácil de detectar phishing é com erros de digitação ou gramática incorreta. Se Amazon estiver escrito “amzon.com” no e-mail, é um bom sinal de que é uma tentativa de phishing. Além disso, se um e-mail tem um senso de urgência, está pedindo dinheiro ou está relatando um problema com uma conta bancária ou impostos, pense duas vezes antes de responder. Se há uma coisa a lembrar sobre phishing, é que se você tiver alguma dúvida sobre uma mensagem, você deve excluí-la ou entrar em contato diretamente com a empresa. Instrua sua equipe de trabalho constantemente sobre isso.
Não proteger sua rede
Uma rede hackeada pode significar acesso ao sistema por usuários não autorizados. Portanto, é essencial que você elimine essa possibilidade controlando quem pode acessar a rede. Portanto, use a autenticação multifator (MFA) para garantir que apenas usuários autorizados possam acessar sistemas controlados, como a plataforma da sua empresa. E não se esqueça de que uma rede doméstica em comparação com uma rede corporativa geralmente é menos segura porque quase sempre há falta de Sistemas de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS) em um ambiente doméstico. Portanto, fique atento se a sua empresa possui regime de home office ou de trabalho híbrido. Não se esqueça de que educar os funcionários sobre esse assunto também é importante.
Não proteger seu e-mail
Pode parecer básico, mas garantir que você separe seu email de trabalho do seu email pessoal pode protegê-lo contra ataques. É bastante comum que um vírus em seu e-mail pessoal infecte um e-mail de trabalho também. Você pode considerar usar um dispositivo diferente para cada um, ou pelo menos um login diferente. A mesma coisa para sua equipe.
Não configurar atualizações para instalação automática
As atualizações de software ajudam a proteger contra as vulnerabilidades atuais. Os desenvolvedores geralmente enviam atualizações para se proteger contra pontos fracos conhecidos, por isso é aconselhável instalá-los imediatamente antes que um invasor possa aproveitá-los. Você pode configurar computadores e dispositivos para instalar automaticamente atualizações de software, que é a maneira mais fácil de manter os programas atualizados. Além disso, atualizações de anúncios pop-up ou e-mails podem ser malware. Portanto, configurar as atualizações para serem instaladas automaticamente significa que elas não precisam clicar em nenhuma solicitação de atualização que possa conter malware.
Não se preocupar com um bom programa antivírus
Malware, ou qualquer programa que possa danificar seu computador, é uma das ameaças mais comuns de segurança cibernética. O malware geralmente pode infectar seu dispositivo sem que você saiba. Um bom programa antivírus pode bloquear qualquer tipo de malware em tempo real. Alguns programas antivírus também podem vir com gerenciadores de senhas, ferramentas antiphishing, VPNs e muito mais.
Esquecer de proteger seus dispositivos físicos
A segurança cibernética e a segurança física são igualmente importantes. Deixar seu computador, celular ou tablet em qualquer lugar sem nenhum cuidado especial pode, além do risco de ser roubado, ser utilizado por pessoas mal intencionadas e, mais uma vez, você corre o risco de ter suas informações violadas. Em casa, o perigo é que outros membros da família possam usá-los e navegar involuntariamente em sites fraudulentos ou clicar em links maliciosos. Portanto, mantenha seu espaço de trabalho físico seguro no escritório e em casa armazene seus dispositivos de trabalho com segurança todas as noites. Não saia do seu computador sem bloqueá-lo. Se possível, tente usar apenas seu computador de trabalho para se conectar ao ambiente de negócios, em vez de usar seu computador pessoal. Além disso, não permita que membros da família usem seus dispositivos de trabalho.
Não verificar os sites que você visita em busca de certificados TLS/SSL
Deixar de verificar a autenticidade de um site pode levá-lo a sites fraudulentos feitos, quase sempre, com o objetivo de roubo de dados ou fraude financeira. Eles são muito parecidos com os sites originais e, portanto, é fácil confundir os usuários. Diferentes navegadores têm identificadores exclusivos para mostrar se um site é seguro e autenticado. É por isso que é importante observar como é um site seguro em navegadores populares, para saber como distinguir sites autenticados de possíveis sites de phishing.
Não verificar a legitimidade do site
Ao fazer compras online ou navegar nas redes sociais, você pode estar especialmente vulnerável a sites falsos ou contas falsas. Antes de compartilhar qualquer informação ou comprar em um site, você deve verificar os indicadores de confiança. Isso pode incluir, procurar erros de ortografia na página da Web, olhar além do bloqueio para a identidade do site, protocolo https ativado, selos do site como o selo do site Norton ou DigiCert, uma declaração de privacidade e informações de contato para a empresa. Se houver alguma dúvida, não faça uma compra nesse site nem insira suas informações. Lembre-se de que se os negócios são bons demais para serem verdade, eles provavelmente não são reais.
Não desconectar de aplicativos e sites
Esquecer de sair de redes sociais, aplicativos e e-mail deixam seus dados desprotegidos e sujeitos a ataques de hackers e também de pessoas malintencionadas, principalmente ao utilizar dispositivos públicos ou compartilháveis. Por esse motivo, simplesmente sair de contas e dispositivos pode protegê-lo. Lembre-se de que você nunca deve permanecer conectado à conta em computadores públicos, como os da biblioteca. Mesmo em casa, você pode querer sair de cada vez. É aqui que ter um gerenciador de senhas facilitará o login a cada vez.
(*) É Diretor Sênior de Desenvolvimento de Negócios da DigiCert.