🔐 Phishing e Engenharia Social – Empresas em risco?

Guia de orientações para empresas sobre os ataques de phishing e engenharia social

Uma das principais obrigações nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD) para organizações que processam dados pessoais (‘controladores’), é que elas devem fazê-lo de uma maneira que garanta a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal (incluindo roubo, destruição ou dano, ou divulgação) usando ‘medidas técnicas ou administrativas apropriadas’. Estas por sua vez, são referidas como o ‘princípio da segurança’.

Esta obrigação é importante, da qual os controladores devem estar cientes, especialmente aqueles que utilizam ou armazenam dados pessoais sensíveis. Se uma organização tem ou não medidas técnicas e administrativas adequadas em vigor para garantir a segurança dos dados pessoais que processam é uma das primeiras perguntas que a Autoridade Nacional de Proteção de Dados (ANPD) provavelmente fará em caso de violação de dados pessoais ou no exercício de poderes de investigação da ANPD.

Uma maneira pela qual os riscos relativos à segurança de dados pessoais podem surgir é por meio do que são conhecidos como ataques de ‘phishing‘ ou ‘engenharia social‘.

Phishing é um exemplo de um tipo de engenharia social comumente usado para enganar os usuários. Phishing é quando alguém tenta enganar os usuários de forma fraudulenta, levando-os a divulgar informações confidenciais, como nomes de usuário, senhas ou detalhes de cartão de crédito, disfarçando-se como uma fonte confiável em uma comunicação eletrônica. Ao usar uma fonte confiável, ou nome, ou logotipo familiar como ‘isca’, os invasores podem ir ‘pescar’ por informações confidenciais, como dados pessoais.

Isso pode ser feito de várias maneiras, como ‘spoofing de e-mail‘ (onde endereços de e-mail ou nomes clonados ou semelhantes são usados) e direcionar os usuários para inserir informações confidenciais em um site falso (que se parece muito com o legítimo) ou fazer download com aparência inofensiva, mas sendo software malicioso (muitas vezes disfarçado como anexos de e-mail).

Dicas para detectar phishing ou engenharia social

Spoofing de e-mail

O spoofing de e-mail envolve um invasor enviando mensagens com um endereço de remetente forjado.

Como os principais protocolos técnicos para e-mail não têm um mecanismo de autenticação, os invasores costumam usar spoofing para enganar o destinatário sobre a origem de uma mensagem. Sistemas como SSL/TLS para criptografia de e-mail podem ajudar a evitar esse risco, mas muitas vezes não estão disponíveis ou não são utilizados para esse fim em muitas organizações.

Spear Phishing

Spear phishing é uma forma direcionada de phishing, em que o invasor tenta fazer seu ataque parecer mais legítimo adaptando-o à vítima pretendida.

Isso é comum para membros mais antigos de uma organização ou funcionários que têm responsabilidades em uma área sensível. O invasor pode ter feito seu dever de casa e incluído o nome correto, cargo, endereço de e-mail, etc. da vítima pretendida.

É particularmente importante para as organizações informarem seus funcionários que trabalham em tais áreas sobre o risco de ataques de phishing direcionados e se certificarem de que estão atentos a qualquer correspondência eletrônica que não estejam esperando.

Manipulação de link

O phishing geralmente envolve um engano técnico projetado para fazer um link em uma comunicação eletrônica parecer que pertence a uma fonte confiável.

Os phishers podem usar URLs com erros ortográficos ou subdomínios com sons legítimos para enganar os usuários e fazê-los clicar em um link.

Muitas vezes, você pode ver aonde o link real leva ao passar o cursor sobre o link, mas é importante lembrar que isso nem sempre é possível, como no caso da maioria dos aplicativos móveis.

Engenharia social

A engenharia social pode assumir muitas formas e normalmente utiliza técnicas psicológicas sutis para induzir os usuários a realizar uma determinada ação.

Os usuários podem ser incentivados a clicar em vários tipos de conteúdo inesperado, como links ou anexos, por vários motivos profissionais, técnicos ou sociais.

Um e-mail pode entrar em uma caixa de entrada de trabalho marcada como ‘Importante!’ ou ‘URGENTE’, com um título e uma redação que procuram convencer a equipe a abrir rapidamente um anexo ou clicar em um link.

Um falso pop-up de segurança pode tentar assustar o usuário e fazê-lo clicar em um link, informando-o de que foi infectado por malware ou precisa atualizar o software de segurança. Ou um anúncio ou e-mail pode simplesmente encorajar alguém a clicar em um link, fingindo estar vinculado a alguma fofoca muito interessante no local de trabalho ou a uma manchete de notícia ultrajante.

Phishing e outras práticas de engenharia social podem ser muito convincentes e apresentar um risco real para as organizações, especialmente em locais de trabalho com muitos funcionários e/ou um alto volume de comunicações eletrônicas.

É importante que, como parte de suas políticas gerais de segurança de dados, as organizações considerem se são vulneráveis a tais ataques e quais ‘medidas técnicas ou administrativas adequadas’ podem ser tomadas para reduzir quaisquer vulnerabilidades.

Abordagens para mitigar o risco de ataques

As organizações podem tomar várias medidas para se protegerem dos riscos de segurança de dados, como phishing e engenharia social, tais como:

As organizações devem considerar o estado da arte em medidas técnicas e organizacionais, e os custos e proporcionalidade de implementação de certas medidas – a decisão deve levar em consideração não apenas a melhor e mais apropriada tecnologia aplicável, mas também o tamanho e a natureza da organização. conforme o volume e a natureza dos dados pessoais armazenados e de outra forma processados.

As organizações também devem levar em consideração as obrigações em relação à garantia da segurança e integridade de qualquer processamento de dados que seja feito em seu nome por operadores de dados pessoais, incluindo se os contratos de processamento de dados cobrem suficientemente os requisitos de segurança e integridade de processamento e o que fazer no caso de um incidente de segurança ou violação de dados pessoais.

Certos serviços utilizados por organizações, como serviços de e-mail baseados em nuvem, podem oferecer muitas vantagens às organizações. No entanto, eles também podem introduzir vulnerabilidades de segurança técnica, que as organizações precisam reconhecer. A não implementação de conformidade e controles de segurança adequados pode aumentar o risco de violação de dados pessoais por ataques de phishing ou engenharia social.

As organizações precisam implementar contramedidas para se protegerem contra ameaças gerais e especificamente introduzidas pelo software e serviços utilizados pela organização, como – acesso não autorizado a dados pessoais, sequestro de contas, roubo de identidade, fraude cibernética e hacking.

O ‘groupware’ baseado em nuvem (software que ajuda grupos de colegas a colaborar e organizar suas atividades), para e-mail e outras funções profissionais, como o Office 365 da Microsoft e o G Suite do Google fornecem configurações e soluções avançadas, que podem ajudar as organizações a protegê-los e combater ameaças. Os provedores de e-mail, na maioria dos casos, também fornecem orientação sobre as melhores práticas para ajudar as organizações a proteger seu serviço de e-mail.

Juntamente com as medidas de segurança técnica adequadas, o treinamento da equipe é obviamente uma das melhores maneiras de uma organização reduzir sua vulnerabilidade a phishing ou engenharia social. O treinamento pode – junto com medidas técnicas de segurança apropriadas – garantir que a equipe, especialmente aquela que trabalha com informações confidenciais, como dados pessoais, compreende os riscos e está equipada para evitar riscos, como não abrir e-mails de remetentes com os quais não estão familiarizados e evitar clicar em links contidos em um e-mail, a menos que você indique exatamente para onde ele está indo .

Uma abordagem em camadas para a segurança reduz o risco de falha de uma única medida de segurança, o que pode resultar na violação de dados pessoais por uma organização.

Recomendações para aumentar a segurança contra ataques

As recomendações a seguir podem ajudar as organizações a considerar quais medidas técnicas e organizacionais precisam ser implementadas para garantir a segurança e integridade dos dados pessoais que processam e protegem contra ataques de phishing e de engenharia social.

Nem todas as recomendações serão relevantes para todas as organizações, mas devem ser consideradas no contexto do trabalho de uma organização e dos tipos de processamento de dados em que ela se envolve, para implementar aqueles mais adequados em cada caso:

As organizações são lembradas de que, de acordo com a LGPD, as organizações devem relatar violações de dados pessoais à ANPD quando a violação representar um risco ou dano relevante para os indivíduos afetados. As organizações devem fazer isso em prazo razoável (o prazo será regulamentado pela ANPD) após tomarem conhecimento da violação. Quando uma violação pode resultar em um alto risco para os indivíduos afetados, as organizações também devem informar esses indivíduos sem atrasos indevidos.


Este texto foi adaptado de: https://www.dataprotection.ie/en/dpc-guidance/guidance-organisations-phishing-and-social-engineering-attacks

Fonte
Data Protection Commission - Irlanda
Sair da versão mobile