Como proteger as empresas contra phishing

Um clique em um link de phishing pode custar o dinheiro e a reputação da sua empresa. Veja como se proteger contra esse golpe.

As soluções de segurança para empresas estão em constante aprimoramento, forçando os cibercriminosos a gastar mais tempo e dinheiro invadindo redes corporativas — e, cada vez mais, a recorrer à engenharia social. Explorando o fator humano e fazendo uso de informações de contato facilmente disponíveis (como para as equipes de RH e RP), os criminosos podem extrair credenciais de login de funcionários desavisados sem ter que se preocupar com soluções de segurança cibernética sofisticadas.

Infelizmente, não existe fórmula mágica para proteger as empresas de phishing; o problema requer medidas organizacionais e técnicas. Veja como implementar essa proteção na prática.

Proteja seu servidor de e-mail

Os navegadores e alguns clientes de e-mail têm seus próprios filtros de segurança, mas os cibercriminosos possuem muitas técnicas para contorná-los. Alguns, por exemplo, usam serviços de marketing por e-mail.

Impedir que e-mails de phishing cheguem às caixas de correio dos funcionários é um bom ponto de partida. Use uma solução de segurança a nível do gateway de e-mail, como Kaspersky Security for Mail Server, que não apenas verifica links em e-mails recebidos, mas também detecta ameaças em arquivos enviados.

Proteja os serviços do Microsoft Office 365

Hoje em dia, em vez de implantar seus próprios servidores de e-mail, muitas empresas usam serviços em nuvem, principalmente MS Office 365. Os dados da conta do Office, que potencialmente fornecem aos invasores acesso a serviços como OneDrive e SharePoint, que podem armazenar informações confidenciais e detalhes de contatos, são alvos frequentes e comuns de ataques de phishing. Mesmo que um funcionário saiba, em teoria, que precisa verificar as mensagens com cuidado, ele ainda pode clicar em um link ou encaminhar uma mensagem para os colegas estiver com pressa.

A Microsoft tem suas próprias tecnologias de segurança imperfeitas, que você pode — e deve — fortalecer com camadas adicionais de proteção. Por exemplo, o [KSO 365 placeholder]Kaspersky Security para Microsoft Office 365[/KSO 365 placeholder] evita a propagação de ameaças por meio de serviços do Office, protege contra spam e phishing e remove anexos maliciosos.

Treine os funcionários

Os truques nas mangas dos cibercriminosos de hoje incluem links maliciosos ocultos em e-mails, cavalos de Tróia anexados disfarçados de documentos, mensagens de texto ou chamadas telefônicas enganosas e muito mais. As mensagens de phishing podem até vir de um provedor de hospedagem ou de uma empresa parceira, se a conta de um de seus funcionários for comprometida. Os funcionários devem estar cientes desses esquemas e ser capazes de detectar e-mails suspeitos.

O treinamento de conscientização sobre segurança cibernética da equipe pode vir de seu próprio departamento de TI ou de especialistas externos. Além disso, ferramentas online como a Kaspersky Automated Security Awareness Platform ajudam os funcionários a aprender em um formato prático e direto ao ponto.

Enviar e-mails teste de phishing

Testar os funcionários enviando a eles e-mails de phishing relevantes permite — ou força — que apliquem seus conhecimentos na prática e se prepararem para incidentes reais. O teste também destaca pessoas e áreas que precisam de melhorias.

Forneça informações de contato para alguém que possa ajudar a verificar e-mails suspeitos

Após o treinamento básico de segurança cibernética, os funcionários serão capazes de identificar a maioria dos e-mails de phishing, observando dicas visuais, como endereço de remetente desconhecido, logotipo da empresa errado e erros de digitação. Em alguns casos, no entanto, determinar se uma mensagem é segura pode exigir a ajuda de um especialista. Inclua o contato ideal de sua empresa para avaliar mensagens suspeitas no guia de integração e divulgue no portal corporativo.

Proteja as estações de trabalho

Mesmo funcionários experientes e perspicazes cometem erros. Links de phishing podem aparecer no e-mail pessoal de um funcionário ou entrar por meio de um aplicativo de mensagens — canais que seus sistemas de segurança não controlam. Portanto, a instalação de uma solução de segurança em cada estação de trabalho conectada à Internet é crucial. Dessa forma, mesmo se um link de phishing atingir o alvo e for clicado, o redirecionamento será bloqueado.

Proteja dispositivos móveis

Os funcionários usam smartphones para visualizar e-mails e documentos financeiros e conversam em aplicativos de mensagens. Os dispositivos móveis sempre representaram uma ameaça à segurança corporativa, ainda mais nesta era de trabalho remoto em massa. Para impedir ataques de phishing em dispositivos móveis, proteja esses dispositivos também, com Kaspersky Endpoint Security for Business, que protege tanto estações de trabalho e como os celulares.

Fique à frente dos criminosos

Os phishers estão sempre inventando novos esquemas, de modo que mesmo o profissional mais experiente pode um dia, sem querer, entregar as chaves de seu e-mail ou de outra conta. Com alguns requisitos de bom senso, você pode garantir que os cibercriminosos tenham o mínimo de informações confidenciais possível.

Habilite autenticação de dois fatores

Ative a autenticação de dois fatores para todos os serviços corporativos online. Com o 2FA habilitado, mesmo se os invasores descobrirem as credenciais de uma conta corporativa ou uma senha de e-mail, eles não conseguirão entrar.

Exija senhas exclusivas

Instrua os funcionários a usarem senhas exclusivas para cada serviço ou dispositivo de trabalho. Então, mesmo se os phishers obtiverem uma senha, nenhum outro recurso estará em risco.

Siga o princípio do menor privilégio

Se os funcionários tiverem direitos de acesso apenas aos servidores, armazenamento em nuvem e outros ativos valiosos quando realmente precisarem, os cibercriminosos não poderão causar muitos danos, mesmo que obtenham o controle de uma conta corporativa.

Plano de ação

Seguindo essas simples dicas, você pode proteger seus funcionários — e, portanto, sua empresa — da ameaça de phishing. Em resumo:
• Proteja seu servidor de e-mail;
• Proteja seus serviços do Microsoft Office;
• Treine os funcionários;
• Simule ataques de phishing para reforçar o treinamento;
• Ofereça aos funcionários uma maneira de entrar em contato com alguém que possa ajudar a verificar e-mails suspeitos;
• Proteja as estações de trabalho;
• Torne os dispositivos móveis seguros;
• Ative a autenticação de dois fatores sempre que possível;
• Use soluções de segurança confiáveis.

Dicas