9 práticas recomendadas para e-mails em pequenas empresas

Comprometimento de e-mail cooperativo (em inglês Business Email Compromise, ou BEC) é um tipo grave de fraude digital e extorsão que busca se aproveitar das comunicações diárias por e-mail entre empresas.

Por meio de um processo complexo de engenharia social, criminosos virtuais se passam por um funcionário ou um associado comercial de confiança e convencem as vítimas da mesma empresa a transferirem informações confidenciais ou fundos para uma conta oculta.

A gravidade desses ataques varia, mas eles costumam ser muito onerosos para a empresa atacada.

Por isso, decidimos criar este guia sobre segurança de e-mail, trazendo práticas recomendadas, diretrizes, protocolos e políticas especialmente direcionados a pequenas empresas (mas que se aplicam a organizações de todos os tamanhos da mesma forma).

É hora de garantir que os e-mails de sua pequena empresa estejam seguros e que qualquer informação confidencial fique protegida, para que pessoas indesejadas não possam visualizá-las.

Quando a segurança de e-mails corporativos é importante?

Na atual era digital, o e-mail se tornou essencial para a comunicação em empresas de todos os tamanhos, mas também apresenta um grande desafio à segurança, principalmente para as de pequeno porte.

Com a evolução e a crescente sofisticação das ameaças virtuais, proteger informações confidenciais e garantir a confidencialidade dos e-mails é mais importante do que nunca.

Nos últimos anos, os ataques virtuais realizados por meio de servidores de e-mail cresceram drasticamente de forma geral. Isso não surpreende, considerando o movimento mundial em direção ao trabalho remoto ao longo dos últimos anos.

Porém, se o trabalho remoto veio para ficar, o que surpreende a maioria dos especialistas em segurança virtual é que muitas organizações (principalmente empresas menores, que estão mais vulneráveis a esse tipo de ataque) não implementaram práticas básicas de segurança virtual para proteger seus sistemas de comprometimento de e-mail cooperativo, e outras tantas formas tradicionais de ataques virtuais baseadas em e-mail.

Práticas recomendadas de segurança de e-mail para pequenas empresas

As práticas recomendadas para pequenas empresas são semelhantes às usadas por grandes organizações.

Elas protegem contra os três tipos principais de ataques virtuais por e-mail:

• Golpes de phishing;
• Ataques de spear phishing;
• Notas fiscais falsas.

Vamos começar com as medidas essenciais de segurança de e-mail:

Contas de e-mail comerciais são para empresas

Embora possa parecer simples e óbvio, vale a pena mencionar, só por precaução. O trabalho é uma parte importante na vida das pessoas, por isso pode ser tentador usar o e-mail da empresa para se cadastrar ou fazer login em alguns serviços que não permitem acesso a contas pessoais.

Entretanto, usar o e-mail da empresa para atividades online pessoais dá aos golpistas a chance de traçar seu perfil com mais facilidade, o que pode levar a muito mais ataques virtuais direcionados.

Da mesma forma, se você usa seu computador pessoal ou rede Wi-Fi de casa, que não costumam oferecer tanta segurança quanto as conexões da empresa ou as máquinas personalizadas do escritório, você dá aos hackers uma chance maior de roubar suas credenciais da empresa.

Isso também nos leva à nossa próxima prática recomendada.

Não use seu e-mail comercial em redes Wi-Fi públicas

Mesmo que você use o dispositivo seguro da empresa para acessar sua conta de e-mail comercial, o Wi-Fi público é a entrada perfeita para hackers e criminosos virtuais acessarem sua máquina e roubarem dados confidenciais.

Quando não é possível evitar as redes públicas, recomendamos usar uma VPN para se conectar aos importantes servidores da empresa e aumentar a segurança geral do seu terminal.

Uma rede privada virtual (VPN) cria uma espécie de túnel privado criptografado entre o computador remoto do usuário e os servidores dedicados da organização.

Como resultado, ela protegerá qualquer um dos dados que você enviar por uma rede insegura por meio de criptografia em tempo real.

Para saber mais sobre VPNs e como elas funcionam, consulte nosso artigo "O que é uma VPN?".

Utilize senhas fortes

Para invadir uma conta de e-mail de uma empresa, o primeiro passo é tentar adivinhar sua senha em um ataque de força bruta. Por isso, recomendamos que todos os funcionários utilizem senhas fortes.

Uma senha é considerada forte quando é longa o suficiente (12-14 caracteres) e contém uma mistura de caracteres especiais, números, letras maiúsculas e minúsculas. Da mesma forma, senhas com frases fortes seguem as mesmas regras, com a exceção de que devem ter entre 15 e 20 caracteres de comprimento e usar letras de outros idiomas (se possível).

Para cada uma delas, o mais importante a lembrar é que elas devem ser únicas e usadas apenas para um aplicativo. Isso significa que você vai precisar de muitas delas, dependendo de quantos sistemas você usa no seu ambiente de trabalho.

Consequentemente, recomendamos usar um gerenciador de senhas ou um cofre de senhas, que também possa gerar opções fortes, para armazenar todas as suas senhas e frases únicas.

Embora gerenciadores e cofres de senhas possam ser invadidos, suas senhas permanecerão seguras, pois são criptografadas; é quase impossível decifrar uma criptografia padrão da indústria, como a AES de 256 bits ou Advanced Encryption Standard (padrão de criptografia avançado).

Então, mesmo que um invasor consiga acessar o cofre, isso não quer dizer que ele consegue fazer algo com seus dados criptografados.

Treinamento de conscientização sobre golpes de phishing e anexos de e-mail

Uma das formas mais fáceis de proteger sua empresa é investir em treinamentos simples de segurança virtual para todos os seus funcionários.

Se essa opção não for viável para sua empresa, recomendamos ensinar às equipes os perigos dos golpes de phishing e ataques por anexo de e-mail, também conhecidos como anexos mal-intencionados ou HTML malicioso.

Os principais pontos a serem abordados são:

• Conscientizar sobre golpes de phishing comuns, como sites fraudulentos e janelas de login que coletam as credenciais de acesso do usuário e imitam pop-ups comuns, como a tela de acesso do Microsoft Outlook.
• Explicar os formatos de anexo de e-mail onde os malwares costumam ficar ocultos, como .DOCX, .HTML e .EXE. Isso também inclui uma forma de ataque virtual recente e popular por e-mail que usa HTML malicioso.
• Avisar seus funcionários para nunca clicarem em um link que pareça suspeito ou tenha sido enviado por um remetente desconhecido. Links maliciosos são a forma mais fácil de golpistas conseguirem aplicar um ataque virtual nos seus funcionários e na sua empresa, geralmente por meio de algum tipo de site de golpe de phishing.

Ative a autenticação multifator

Uma prática de segurança que está se popularizando cada vez mais, por causa de sua eficácia, é a autenticação multifator.

Às vezes chamada de MFA, autenticação de dois fatores ou 2FA, a autenticação multifator proporciona às contas de e-mail da sua empresa vários níveis de verificação de segurança antes que o acesso às mensagens seja concedido a um funcionário.

Alguns exemplos são uma senha adicional, um código de uma mensagem SMS segura ou uma senha para uma pergunta de segurança predeterminada.

Não esqueça de fazer logout

Novamente, pode parecer a coisa mais óbvia a se fazer ao usar seu e-mail de trabalho, mas é importante lembrar que muitos ataques de segurança virtual começam com funcionários insatisfeitos que querem prejudicar a empresa de um ex-empregador.

Cooptar a conta de alguém e se passar por outro funcionário é uma das formas mais fáceis de cometer crimes virtuais e evitar a detecção.

Então, para impedir que você ou outros funcionários sejam suspeitos involuntários, lembre todos da sua empresa de fazer logout após cada sessão e nunca compartilhar as informações de login com outras pessoas. 

Sistemas de verificação e proteção de e-mail

Com ameaças de engenharia social e ataques virtuais baseados em e-mail cada vez mais complexos, um sistema dedicado de verificação e proteção de e-mail é a melhor defesa contra anexos de e-mail avançados e maliciosos e ataques de inserção de script.

Recomendamos uma solução antivírus automatizada que inclua aprendizado de máquina e análise estática de código, que avalia o conteúdo real de um e-mail e não apenas o tipo de arquivo em anexo.

Para garantir uma solução avançada de segurança virtual online, recomendamos as soluções para pequenas empresas da Kaspersky. Um sistema premiado para empresas e usuários pessoais, nosso pacote premium inclui assistência remota e suporte ininterrupto.

Protocolos e padrões de segurança de e-mail

Uma das formas mais importantes com que você pode proteger o sistema de e-mail da sua empresa é implementar protocolos adequados de segurança de e-mail.

Geralmente considerados a primeira linha de defesa contra ataques virtuais associados a e-mails, esses protocolos são projetados para manter suas comunicações seguras ao passarem pelos serviços de webmail.

De forma clara, os servidores de e-mail entregam mensagens entre os clientes de e-mail dos destinatários usando protocolos. Esses, por sua vez, dizem ao servidor como processar e entregar as mensagens. Os protocolos de segurança verificam e autenticam esse processo.

Há vários protocolos diferentes que podem ser usados para proteger o e-mail da sua empresa:

• SPF – permite que os proprietários do domínio do e-mail identifiquem e verifiquem quem tem autorização para usar os nomes do domínio ao enviar e-mails.
• DMARC – permite que os proprietários do domínio do e-mail notifiquem e respondam quando uma mensagem não for autenticada.
• SMTPS e STARTTLS – criptografa trocas de e-mail entre clientes e servidores.
• DKIM – permite que o usuário seja vinculado a uma assinatura digital para obter autenticação.
• S/MIME – define como os dados formatados em MIME serão criptografados e autenticados.
• OpenPGP – é baseado na estrutura Good Privacy e é um padrão de criptografia e autenticação de e-mails.
• Certificados digitais – são uma forma de verificar as informações do remetente por meio da propriedade de chave pública.
• SSL/TLS – não é usado diretamente na segurança de e-mail, mas criptografa o tráfego de rede entre servidores (que englobam mensagens de webmail) porque é usado para HTTPS.

Muitos provedores de clientes de e-mail populares usam SPF, DKIM e DMARC (configurados por meio de registros DNS) para proteger a privacidade de seus usuários. Recomendamos implementar pelo menos três desses protocolos no sistema de e-mail da sua empresa.   

Políticas, diretrizes e conformidade da segurança de e-mail

As políticas, diretrizes e conformidade de segurança de e-mail definem as regras e os regulamentos relativos ao uso de contas de e-mail comerciais em um local de trabalho.

Cada um dos pontos listados acima deve ser uma parte importante das políticas de segurança de e-mail da sua organização. Além disso, essas diretrizes também devem incluir regras sobre:

• Acesso do usuário e uso de dispositivos.
• Tratamento e armazenamento de dados.
• Regras sobre encaminhamento, exclusão e retenção de e-mail.
• A amplitude do escopo das políticas, incluindo o uso da rede e do sistema.
• Conduta ética e comportamento adequado.
• Criptografia de senha e outras ferramentas de segurança usadas em clientes de e-mail.
• Material de treinamento em segurança virtual que aborde malwares de e-mail e maneiras de detectar anexos, links ou mensagens fraudulentas.
• Práticas de monitoramento de e-mail e registro de funcionários realizadas por sua empresa.
• Onde e como denunciar conteúdos com malware, ameaças ou ilegais recebidos por e-mail.

Em resumo, toda organização, de pequenas empresas a grandes corporações, devem ter um modelo de conformidade de segurança (Security Compliance Model, SCN) que expõe e define com clareza o assunto acima.

Essas diretrizes atuarão como uma estrutura jurídica (imposta pelo governo nacional) que pode garantir a privacidade e a segurança de todo o conteúdo presente nos e-mails da empresa. Isso se torna especialmente importante quando consideramos que clientes e parceiros estão mais cautelosos com empresas com violações de comunicação digital.

No cenário digital atual, o e-mail se tornou indispensável tanto para empresas pequenas quanto grandes, mas ele também é um alvo principal de ataques virtuais. À medida que o trabalho remoto se torna mais comum, o risco de ataques virtuais associados a e-mail cresce.

Proteja sua pequena empresa com facilidade com a Small Business Security da Kaspersky, projetada especialmente para atender às necessidades da sua pequena empresa.

Artigos relacionados:

• O que são gerenciadores de senhas? Eles são seguros?
• Como criptografar e-mails no Outlook, Gmail, iOS e Yahoo?
• Como evitar e-mails de spam: dicas e conselhos

Produtos recomendados:

• Kaspersky Security para Microsoft Office 365
• Kaspersky VPN Secure Connection
• Kaspersky Password Manager