Segurança da InformaçãoArtigosBlog
Tendência

ūüĒź Phishing e Engenharia Social – Empresas em risco?

Guia de orienta√ß√Ķes para empresas sobre os ataques de phishing e engenharia social

Uma das principais obriga√ß√Ķes nos termos da Lei Geral de Prote√ß√£o de Dados Pessoais (LGPD) para organiza√ß√Ķes que processam dados pessoais (‘controladores’), √© que elas devem faz√™-lo de uma maneira que garanta a seguran√ßa adequada dos dados pessoais, incluindo prote√ß√£o contra processamento n√£o autorizado ou ilegal (incluindo roubo, destrui√ß√£o ou dano, ou divulga√ß√£o) usando ‘medidas t√©cnicas ou administrativas apropriadas’. Estas por sua vez, s√£o referidas como o ‘princ√≠pio da seguran√ßa’.

Esta obrigação é importante, da qual os controladores devem estar cientes, especialmente aqueles que utilizam ou armazenam dados pessoais sensíveis. Se uma organização tem ou não medidas técnicas e administrativas adequadas em vigor para garantir a segurança dos dados pessoais que processam é uma das primeiras perguntas que a Autoridade Nacional de Proteção de Dados (ANPD) provavelmente fará em caso de violação de dados pessoais ou no exercício de poderes de investigação da ANPD.

Uma maneira pela qual os riscos relativos √† seguran√ßa de dados pessoais podem surgir √© por meio do que s√£o conhecidos como ataques de ‘phishing‘ ou ‘engenharia social‘.

Phishing √© um exemplo de um tipo de engenharia social comumente usado para enganar os usu√°rios. Phishing √© quando algu√©m tenta enganar os usu√°rios de forma fraudulenta, levando-os a divulgar informa√ß√Ķes confidenciais, como nomes de usu√°rio, senhas ou detalhes de cart√£o de cr√©dito, disfar√ßando-se como uma fonte confi√°vel em uma comunica√ß√£o eletr√īnica. Ao usar uma fonte confi√°vel, ou nome, ou logotipo familiar como ‘isca’, os invasores podem ir ‘pescar’ por informa√ß√Ķes confidenciais, como dados pessoais.

Isso pode ser feito de v√°rias maneiras, como ‘spoofing de e-mail‘ (onde endere√ßos de e-mail ou nomes clonados ou semelhantes s√£o usados) e direcionar os usu√°rios para inserir informa√ß√Ķes confidenciais em um site falso (que se parece muito com o leg√≠timo) ou fazer download com apar√™ncia inofensiva, mas sendo software malicioso (muitas vezes disfar√ßado como anexos de e-mail).

Dicas para detectar phishing ou engenharia social

Spoofing de e-mail

O spoofing de e-mail envolve um invasor enviando mensagens com um endereço de remetente forjado.

Como os principais protocolos t√©cnicos para e-mail n√£o t√™m um mecanismo de autentica√ß√£o, os invasores costumam usar spoofing para enganar o destinat√°rio sobre a origem de uma mensagem. Sistemas como SSL/TLS para criptografia de e-mail podem ajudar a evitar esse risco, mas muitas vezes n√£o est√£o dispon√≠veis ou n√£o s√£o utilizados para esse fim em muitas organiza√ß√Ķes.

  • A maioria dos provedores de e-mail fornece algumas medidas de seguran√ßa para proteger contra esses tipos de emails, mas √© importante verificar os detalhes do remetente, especialmente se um e-mail for suspeito.
  • Por exemplo, certifique-se de que o endere√ßo de e-mail em si, bem como qualquer nome ou nome de contato no corpo do e-mail correspondam.

Spear Phishing

Spear phishing é uma forma direcionada de phishing, em que o invasor tenta fazer seu ataque parecer mais legítimo adaptando-o à vítima pretendida.

Isso é comum para membros mais antigos de uma organização ou funcionários que têm responsabilidades em uma área sensível. O invasor pode ter feito seu dever de casa e incluído o nome correto, cargo, endereço de e-mail, etc. da vítima pretendida.

√Č particularmente importante para as organiza√ß√Ķes informarem seus funcion√°rios que trabalham em tais √°reas sobre o risco de ataques de phishing direcionados e se certificarem de que est√£o atentos a qualquer correspond√™ncia eletr√īnica que n√£o estejam esperando.

Manipulação de link

O phishing geralmente envolve um engano t√©cnico projetado para fazer um link em uma comunica√ß√£o eletr√īnica parecer que pertence a uma fonte confi√°vel.

Os phishers podem usar URLs com erros ortográficos ou subdomínios com sons legítimos para enganar os usuários e fazê-los clicar em um link.

  • Por exemplo, a URL ‘www.truztedsource.ie’ pode ser usada para enganar os usu√°rios para que cliquem em um link que eles acham que √© para ‘www.trustedsource.ie’.
  • Da mesma forma, os phishers podem usar um link como ‘www.trustedsource.secureinfo.ie’ para induzir os usu√°rios a pensar que ele √© um link para uma p√°gina de ‘informa√ß√Ķes seguras’ no site ‘trustedsource’, mas na verdade seria um link para o site ‘secureinfo.ie’, que pode ser uma p√°gina falsa criada pelo phisher.
  • √Äs vezes, o texto exibido para um link parece um URL leg√≠timo, mas o link quando voc√™ clica leva a outro lugar – por exemplo, http://www.trustedsource.ie/ realmente leva a ‘www.notatrustedsource.ie ‘.

Muitas vezes, você pode ver aonde o link real leva ao passar o cursor sobre o link, mas é importante lembrar que isso nem sempre é possível, como no caso da maioria dos aplicativos móveis.

  • As organiza√ß√Ķes precisam garantir que a equipe tenha cuidado ao clicar em links para sites externos, especialmente em dispositivos m√≥veis.
  • As organiza√ß√Ķes devem considerar a implementa√ß√£o de medidas t√©cnicas de seguran√ßa que podem ajudar a detectar e proteger contra a manipula√ß√£o de links.

Engenharia social

A engenharia social pode assumir muitas formas e normalmente utiliza técnicas psicológicas sutis para induzir os usuários a realizar uma determinada ação.

Os usu√°rios podem ser incentivados a clicar em v√°rios tipos de conte√ļdo inesperado, como links ou anexos, por v√°rios motivos profissionais, t√©cnicos ou sociais.

Um e-mail pode entrar em uma caixa de entrada de trabalho marcada como ‘Importante!’ ou ‘URGENTE’, com um t√≠tulo e uma reda√ß√£o que procuram convencer a equipe a abrir rapidamente um anexo ou clicar em um link.

Um falso pop-up de seguran√ßa pode tentar assustar o usu√°rio e faz√™-lo clicar em um link, informando-o de que foi infectado por malware ou precisa atualizar o software de seguran√ßa. Ou um an√ļncio ou e-mail pode simplesmente encorajar algu√©m a clicar em um link, fingindo estar vinculado a alguma fofoca muito interessante no local de trabalho ou a uma manchete de not√≠cia ultrajante.

  • As organiza√ß√Ķes podem lembrar a equipe sobre o perigo de reagir √†s comunica√ß√Ķes eletr√īnicas, mesmo quando pare√ßa urgente.
  • As organiza√ß√Ķes devem considerar medidas administrativas ou t√©cnicas com rela√ß√£o a quais links podem ser clicados ou anexos baixados pela equipe, quando apropriado.

Phishing e outras pr√°ticas de engenharia social podem ser muito convincentes e apresentar um risco real para as organiza√ß√Ķes, especialmente em locais de trabalho com muitos funcion√°rios e/ou um alto volume de comunica√ß√Ķes eletr√īnicas.

√Č importante que, como parte de suas pol√≠ticas gerais de seguran√ßa de dados, as organiza√ß√Ķes considerem se s√£o vulner√°veis a tais ataques e quais ‘medidas t√©cnicas ou administrativas adequadas’ podem ser tomadas para reduzir quaisquer vulnerabilidades.

Abordagens para mitigar o risco de ataques

As organiza√ß√Ķes podem tomar v√°rias medidas para se protegerem dos riscos de seguran√ßa de dados, como phishing e engenharia social, tais como:

  • conduzir an√°lises de riscos regulares e detalhadas;
  • revisar comunica√ß√Ķes internas e pol√≠ticas de TI; e
  • implementa√ß√£o de medidas de seguran√ßa f√≠sica e t√©cnica e treinamento de pessoal.

As organiza√ß√Ķes devem considerar o estado da arte em medidas t√©cnicas e organizacionais, e os custos e proporcionalidade de implementa√ß√£o de certas medidas – a decis√£o deve levar em considera√ß√£o n√£o apenas a melhor e mais apropriada tecnologia aplic√°vel, mas tamb√©m o tamanho e a natureza da organiza√ß√£o. conforme o volume e a natureza dos dados pessoais armazenados e de outra forma processados.

As organiza√ß√Ķes tamb√©m devem levar em considera√ß√£o as obriga√ß√Ķes em rela√ß√£o √† garantia da seguran√ßa e integridade de qualquer processamento de dados que seja feito em seu nome por operadores de dados pessoais, incluindo se os contratos de processamento de dados cobrem suficientemente os requisitos de seguran√ßa e integridade de processamento e o que fazer no caso de um incidente de seguran√ßa ou viola√ß√£o de dados pessoais.

Certos servi√ßos utilizados por organiza√ß√Ķes, como servi√ßos de e-mail baseados em nuvem, podem oferecer muitas vantagens √†s organiza√ß√Ķes. No entanto, eles tamb√©m podem introduzir vulnerabilidades de seguran√ßa t√©cnica, que as organiza√ß√Ķes precisam reconhecer. A n√£o implementa√ß√£o de conformidade e controles de seguran√ßa adequados pode aumentar o risco de viola√ß√£o de dados pessoais por ataques de phishing ou engenharia social.

As organiza√ß√Ķes precisam implementar contramedidas para se protegerem contra amea√ßas gerais e especificamente introduzidas pelo software e servi√ßos utilizados pela organiza√ß√£o, como – acesso n√£o autorizado a dados pessoais, sequestro de contas, roubo de identidade, fraude cibern√©tica e hacking.

O ‘groupware’ baseado em nuvem (software que ajuda grupos de colegas a colaborar e organizar suas atividades), para e-mail e outras fun√ß√Ķes profissionais, como o Office 365 da Microsoft e o G Suite do Google fornecem configura√ß√Ķes e solu√ß√Ķes avan√ßadas, que podem ajudar as organiza√ß√Ķes a proteg√™-los e combater amea√ßas. Os provedores de e-mail, na maioria dos casos, tamb√©m fornecem orienta√ß√£o sobre as melhores pr√°ticas para ajudar as organiza√ß√Ķes a proteger seu servi√ßo de e-mail.

Juntamente com as medidas de seguran√ßa t√©cnica adequadas, o treinamento da equipe √© obviamente uma das melhores maneiras de uma organiza√ß√£o reduzir sua vulnerabilidade a phishing ou engenharia social. O treinamento pode – junto com medidas t√©cnicas de seguran√ßa apropriadas – garantir que a equipe, especialmente aquela que trabalha com informa√ß√Ķes confidenciais, como dados pessoais, compreende os riscos e est√° equipada para evitar riscos, como n√£o abrir e-mails de remetentes com os quais n√£o est√£o familiarizados e evitar clicar em links contidos em um e-mail, a menos que voc√™ indique exatamente para onde ele est√° indo .

Uma abordagem em camadas para a seguran√ßa reduz o risco de falha de uma √ļnica medida de seguran√ßa, o que pode resultar na viola√ß√£o de dados pessoais por uma organiza√ß√£o.

Recomenda√ß√Ķes para aumentar a seguran√ßa contra ataques

As recomenda√ß√Ķes a seguir podem ajudar as organiza√ß√Ķes a considerar quais medidas t√©cnicas e organizacionais precisam ser implementadas para garantir a seguran√ßa e integridade dos dados pessoais que processam e protegem contra ataques de phishing e de engenharia social.

Nem todas as recomenda√ß√Ķes ser√£o relevantes para todas as organiza√ß√Ķes, mas devem ser consideradas no contexto do trabalho de uma organiza√ß√£o e dos tipos de processamento de dados em que ela se envolve, para implementar aqueles mais adequados em cada caso:

  • Revise todas as configura√ß√Ķes de seguran√ßa padr√£o, incluindo senhas e credenciais, fornecidas por qualquer servi√ßo de e-mail ou groupware utilizado pela organiza√ß√£o.
  • Aplique autentica√ß√£o multifator para administradores, usu√°rios remotos ou baseados na web de e-mail, bancos de dados ou sistemas de organiza√ß√£o, incluindo qualquer parceiro de servi√ßo gerenciado ou administradores.
  • Implemente regras para filtrar e detectar e-mails suspeitos e / ou spam.
  • Crie regras para como mensagens e anexos s√£o tratados com base em condi√ß√Ķes como tipo de arquivo ou tamanho da mensagem.
  • Ative a auditoria para garantir que haja um registro de auditoria dispon√≠vel para rastrear a a√ß√£o do usu√°rio no sistema de e-mail.
  • Certifique-se de que os usu√°rios tenham as permiss√Ķes de e-mail baseadas em fun√ß√Ķes corretas – com rela√ß√£o aos direitos do sistema, gerenciamento ou configura√ß√£o.
  • Desative o acesso remoto ou baseado na Web a e-mail, bancos de dados ou outros sistemas para funcion√°rios que trabalham principalmente com o escrit√≥rio.
  • Implemente controles para evitar que os usu√°rios encaminhem automaticamente email (s) para endere√ßos de email externos.
  • Revise regularmente todas as regras de encaminhamento habilitadas para groupware baseado em e-mail para garantir que n√£o haja regras desnecess√°rias ou n√£o aprovadas.
  • Configure uma pol√≠tica para fornecer um aviso (sugest√£o visual) quando um email √© enviado a um contato externo ou organiza√ß√£o (por exemplo, dicas de seguran√ßa do Office 365).
  • Configure pol√≠ticas para fornecer alertas sobre o comportamento de entrada, como acesso irregular √† geolocaliza√ß√£o.
  • Configure uma pol√≠tica de preven√ß√£o de perda de dados para identificar e monitorar automaticamente quaisquer informa√ß√Ķes confidenciais (por exemplo, dados banc√°rios) sendo enviadas por e-mail para endere√ßos externos.
  • Revise regularmente as pol√≠ticas de acesso √† web (filtragem) para proibir o acesso a sites maliciosos (phishing) ou em sites apropriados.
  • Implementar um processo de controle para aprovar e proteger todos os dispositivos que acessam o e-mail.
  • Crie pol√≠ticas de acesso de e-mail apropriadas para √°reas como Traga seu pr√≥prio dispositivo (BYOD).
  • Gerencie dispositivos m√≥veis inscrevendo-os em uma solu√ß√£o de gerenciamento de dispositivos m√≥veis (para potencialmente localizar, bloquear e limpar em caso de perda).
  • Mantenha e analise regularmente um invent√°rio de dispositivos m√≥veis aprovados para acessar e-mail e remova quaisquer dispositivos que n√£o sejam mais necess√°rios.
  • Desenvolva um plano de resposta a incidentes para fornecer uma estrutura para o gerenciamento de qualquer incidente (s) de seguran√ßa.
  • Exigir que os e-mails sejam transmitidos por meio de uma conex√£o segura (criptografada) como TLS 1.2.
  • Revise todas as pol√≠ticas de arquivamento de e-mail para reduzir o volume de informa√ß√Ķes contidas nas caixas de correio.
  • Implementar criptografia em repouso para caixas de correio.
  • Emita atualiza√ß√Ķes relevantes para a equipe sobre a import√Ęncia de permanecer vigilante em rela√ß√£o √†s tentativas de engenharia social por e-mail e outros vetores de ataque. Integre essas atualiza√ß√Ķes em um processo de educa√ß√£o cont√≠nua sobre seguran√ßa cibern√©tica e amea√ßas associadas.
  • Certifique-se de que a equipe seja capaz de entrar em contato com algu√©m, como um gerente ou especialista de TI interno ou externo, quando houver d√ļvidas sobre riscos √† seguran√ßa de dados, como uma comunica√ß√£o suspeita, link, anexo ou pop-up.
  • Considere a implementa√ß√£o de m√©todos avan√ßados de prote√ß√£o de e-mail, como Sender Policy Framenwork (SPF), Domain Keys Identified Mail (DKIM), Domain Based Message Authentication, Reporting and Conformance (DMARC).

As organiza√ß√Ķes s√£o lembradas de que, de acordo com a LGPD, as organiza√ß√Ķes devem relatar viola√ß√Ķes de dados pessoais √† ANPD quando a viola√ß√£o representar um risco ou dano relevante para os indiv√≠duos afetados. As organiza√ß√Ķes devem fazer isso em prazo razo√°vel (o prazo ser√° regulamentado pela ANPD) ap√≥s tomarem conhecimento da viola√ß√£o. Quando uma viola√ß√£o pode resultar em um alto risco para os indiv√≠duos afetados, as organiza√ß√Ķes tamb√©m devem informar esses indiv√≠duos sem atrasos indevidos.


Este texto foi adaptado de: https://www.dataprotection.ie/en/dpc-guidance/guidance-organisations-phishing-and-social-engineering-attacks

Fonte
Data Protection Commission - Irlanda
Bot√£o Voltar ao topo