186 views 6 mins

Em terra de phishing, quanto custa um clique?

em Artigos
terça-feira, 06 de julho de 2021

Andressa Soares (*)

Há mais de um ano transformamos nossas casas em escritórios devido à pandemia.

Entretanto, o cenário de trabalho à distância já estava em ritmo crescente nas empresas brasileiras dada às novas tecnologias e mentalidades corporativas. A pandemia, então, apenas acelerou este processo, forçando as organizações a seguirem por um caminho sem qualquer planejamento. Como resultado, gargalos provavelmente surgiram, abrindo a porta para invasões cibernéticas.

Somente em 2020, foram detectadas 8,4 bilhões de tentativas de invasões maliciosas no Brasil, segundo a Confederação Nacional das Seguradoras. De acordo com a instituição, a adoção do regime de home office contribuiu para elevar ainda mais essas ocorrências de ataques cibernéticos, pois os criminosos virtuais estão aproveitando o novo cenário para invadir as redes corporativas por meio de senhas fracas e phishing – técnica de engenharia social usada para enganar usuários e obter informações confidenciais, gerando prejuízos incalculáveis.

Diariamente, milhões de mensagens eletrônicas são enviadas com o objetivo de fisgar vítimas e introduzi-las voluntariamente ao erro por fornecerem determinadas informações que, como consequência, expõem dados pessoais e, ou, coorporativos. Cair num golpe on-line resulta em inúmeras dificuldades e prejuízos para a vítima, mas, àquelas empresas que tiveram seus dados roubados e expostos, têm muito mais problema.

Portanto, este tem sido o principal foco dos criminosos: um sistema de segurança falho ou um funcionário que não esteja seguindo procedimentos de segurança, sendo necessário apenas um clique para sequestrar informações sensíveis e confidenciais que, dependendo da situação, só podem ser recuperadas mediante a pagamentos milionários. A IBM afirma que o custo para reparar um vazamento de dados em uma empresa no Brasil pode chegar à média de US$ 1,24 milhão.

A utilização de senhas fracas por colaboradores também é um dos principais fatores que contribuem com o cibercrime. Teoricamente, as senhas são a porta de entrada para o on-line e, portanto, precisam ser tratadas com muita atenção. Mas, a realidade é outra. A senha 123456 ainda está entre as mais utilizadas pelos colaboradores, segundo a NordPass, uma empresa de gerenciamento de palavras-chave.

Num momento como esse, questiona-se “qual o caminho para minimizar possíveis riscos, tornando o novo cenário corporativo mais seguro?” A resposta é que a prática e a prevenção precisam caminhar juntas. Neste sentido, medidas de segurança precisam ser revisadas e aplicadas, mas, principalmente, todos os colaborados precisam entender os riscos existentes por meio de treinamentos.

Uma das principais boas práticas é a utilização de VPN’s (do inglês, Virtual Private Network) para acessar redes coorporativas internas, como forma de garantir que os dados não sejam interceptados. Além disso, é necessário aplicar a autenticação em dois fatores, utilizar controles para a transferência de arquivos via USB e implementar uma política de senhas fortes auxiliada a sistemas que permitam apagar dados caso um aparelho seja roubado ou perdido. Aqui, é muito importante que o controle esteja com a TI da empresa ao invés do usuário.

Num outro ponto, capacitar os colaboradores para lidar com as ameaças de engenharia social é tão fundamental quanto cuidar de softwares ou aplicações, pois a capacitação combinada com a informação continua sendo a melhor prevenção. Atualmente, o mercado conta com ferramentas que integram o treinamento à conscientização em segurança e simulação de phishing por meio de e-mails similares aos golpes virtuais, tendo bons resultados e sendo capazes de apontar os funcionários que estão propensos a tais armadilhas.

Agora, mais que nunca, é preciso direcionar esforços para essas possibilidades, pois o home office, que era uma medida momentânea, veio para ficar. Segundo a consultoria Cushman & Wakefield, 73,8% das empresas brasileiras pretendem instituir essa modalidade como definitiva, mesmo após a pandemia. Portanto, treinar seus colaboradores para reconhecer os truques de engenharia social é mandatório.

A mensagem é: pensar antes e clicar depois. Afinal, basta um clique para comprometer uma corporação.

(*) – É consultora de Cyber Insurance and Risk Controls na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.