Conheça a combinação que põe em risco a segurança da sua empresa

Executivos encontram dificuldades em criar mecanismos de defesas para evitar que e-mails de spam sejam abertos e a organização, invadida.

Provavelmente você deve receber todos os dias uma quantidade enorme de e-mails não solicitados, conhecidos como spam.

Além de encher a caixa postal — e dependendo da configuração impedir o envio e recebimento de novos e-mails —, o spam reduz a produtividade, consome recursos tecnológicos e de infraestrutura (como energia elétrica), e ainda pode ser um vetor de entrada de vírus, causando vários transtornos para a organização.

Mas como viver num mundo sem esses e-mails nocivos? É praticamente impossível quando, só em setembro deste ano, 86,05% dos quase 500 bilhões de e-mails enviados por dia foram spam.

O cenário parece ser pior no Brasil. No mesmo período, o volume total diário de e-mails foi de 2,14 bilhões e quase todos eles continham algum conteúdo indesejado.

Esses dados são da Talos Intelligence, organização de inteligência contra ameaças cibernéticas da Cisco que, dentre outras atividades de segurança, monitora o envio e recebimento de e-mails no mundo todo.

A ironia é que o spam completou 41 anos em 2019 e as empresas encontram cada vez mais dificuldades em combater esse tipo de ameaça. O motivo? O comportamento dos colaboradores e a sofisticação das técnicas de geração de spam.

Fator humano é desafio para combater SPAM

Um e-mail funciona de uma maneira bem prática: há uma palavra-chave no assunto que chama a atenção do usuário. Ele vai avaliar se o conteúdo do que ele recebeu é interessante ou não para, assim, tomar uma decisão:

• Responder o e-mail;
• Encaminhar o conteúdo;
• Clicar em algum link disponível;
• Abrir ou executar algum arquivo
• Ou simplesmente deletar o e-mail.

Nesses 41 anos de spam, todo mundo já deve ter recebido alguns e-mails com assuntos similares a estes:

• “As fotos da festa ficaram ótimas”,
• “Você deve levar isso à sério”,
• “A fatura do seu cartão XX chegou”,
• “Correios: retire sua encomenda”,
• “Boleto de cobrança”.

Os e-mails podem ainda conter arquivos ou links para sites Web com códigos maliciosos– malware ou phishing – em formato .doc, .pdf ou .js (JavaScript), por exemplo.

Ambientes corporativos costumam receber muitos spam, mas há um problema ainda maior, cada vez mais frequente. São ataques de spam direcionados às vítimas, denominados de spear phishing, que empregam técnicas de engenharia social avançada, explorando o comportamento humano para ter sucesso no envio de e-mails fraudulentos.

Como funciona o spear phishing

Os atacantes procuram entender o organograma da organização, quem são os principais executivos e como se relacionam com colaboradores.

Geralmente ataques de spam nas empresas chegam com o nome de um C-Level ou até mesmo de um colega do colaborador como remetente, podendo utilizar até linguajar semelhante.

Pense na seguinte situação: seus colaboradores recebem um e-mail de um suposto C-Level com o assunto “Atraso no pagamento” ou “Transferência Urgente de Valores”. Qual funcionário não abriria o e-mail e executaria as ações solicitadas?

Por isso o fator humano é uma grande dificuldade para as companhias.

Um relatório da empresa de tecnologia Cisco demonstrou que 56% dos CISOs (executivos de segurança da informação) entrevistados acham desafiador criar mecanismos de defesas contra o comportamento dos colaboradores.

A preocupação, porém, ainda é maior do que os cuidados tomados com a segurança de dados na nuvem pública ou uso de dispositivos móveis no ambiente de trabalho.

Além disso, o estudo indicou que 42% já tiveram que lidar com algum incidente de segurança porque um e-mail de spam foi aberto por um funcionário durante o expediente.

E por que isso acontece? Porque segundo um outro relatório — The Human Factor, elaborado pela empresa de cibersegurança Proof Point em 2017 — 87% dos usuários clicam em links falsos em até 24 horas após receber um e-mail fraudulento, sendo que 25% o fazem em até 10 minutos.

Treine seus colaboradores para evitar ataques

Apresentamos algumas dicas para ajudar as organizações e colaboradores a identificar e evitar golpes que chegam por spam:

1. Exercícios de phishing são fundamentais: os ataques estão cada vez mais personalizados e, às vezes, trazem o nome de um funcionário conhecido para induzir a vítima a cair no golpe. Treinar os colaboradores a partir de conversas de conscientização e até mesmo praticar alguns exercícios (enviar e-mails falsos para identificar quais colaboradores clicaram nos links, por exemplo) pode instruí-los a identificar se um e-mail é autêntico ou spam.
2. Tenha autenticação multifatorial: ter autenticação de vários fatores, como o uso de token, vai evitar o acesso à conta de correio, caso as credenciais de um colaborador tenham sido furtadas para fins ilícitos.
3. Software deve estar sempre atualizado: alguns e-mails de spam possuem links que levam para uma página falsa no navegador. Manter o software de e-mail, sistema operacional, navegador e plugin atualizados ajudam a reduzir o risco de infecção.
4. Mantenha o antivírus sempre atualizado: para reduzir o risco do equipamento ser infectado.
5. Utilize um sistema avançado de anti-spam: adquira ou contrate um serviço de anti-spam com recursos para identificar links falsos e remover arquivos infectados para reduzir as chances da organização ser infectada por vírus.
6. Sistema de WEB filtering é fundamental para proteger a navegação dos usuários: O sistema pode impedir que os usuários acessem páginas contaminadas com vírus, mesmo se clicarem nos links falsos que acompanham o spam. Também remove vírus durante o processo de download de arquivos em sites contaminados, evitando que a organização seja infectada.
7. Transferência de dinheiro? Não!: é bem comum o recebimento de e-mail pedindo o pagamento antecipado de alguma uma taxa ou transferência de valores. Basta ignorar ou consultar o responsável para confirmar se realmente a solicitação é verdadeira. No caso de e-mails corporativos, é preciso criar políticas e controles internos para autorizar transferência bancária somente após a confirmação que a transação é autêntica.
8. Não caia na fake news: e-mails de spam geralmente têm um storytelling no corpo de texto. É preciso questionar se é uma história que faz sentido para os colaboradores ou se ela está inserida no cotidiano deles. Procure identificar falhas (situações absurdas, erros gramaticais) em como a história é contada para saber se tudo não passa de uma tentativa de golpe.

Olhe com cuidado para os e-mails

As empresas precisam estar preparadas para possíveis ataques, que estão cada vez mais sofisticados. O spam pode ser muito convincente, se construídos por profissionais especializados, como linguistas, ou se desenvolvidos através de inteligência artificial.

O problema é que muitas companhias passaram a usar serviços de e-mail na nuvem e acham que estão seguras, mas alguns provedores ofertam somente soluções básicas de segurança, que são insuficientes para enfrentar ataques sofisticados.

Por este motivo, torna-se essencial desenvolver um planejamento estratégico em segurança e começar pelos funcionários é primordial para evitar maiores perdas nos negócios.

Por isso, o Mundo + Tech trouxe um infográfico para te ajudar a identificar um e-mail de spam e compartilhar com sua equipe. Confira abaixo: