🔐 Phishing e Engenharia Social – Empresas em risco?

Uma das principais obrigações nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD) para organizações que processam dados pessoais (‘controladores’), é que elas devem fazê-lo de uma maneira que garanta a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal (incluindo roubo, destruição ou dano, ou divulgação) usando ‘medidas técnicas ou administrativas apropriadas’. Estas por sua vez, são referidas como o ‘princípio da segurança’.

Esta obrigação é importante, da qual os controladores devem estar cientes, especialmente aqueles que utilizam ou armazenam dados pessoais sensíveis. Se uma organização tem ou não medidas técnicas e administrativas adequadas em vigor para garantir a segurança dos dados pessoais que processam é uma das primeiras perguntas que a Autoridade Nacional de Proteção de Dados (ANPD) provavelmente fará em caso de violação de dados pessoais ou no exercício de poderes de investigação da ANPD.

Uma maneira pela qual os riscos relativos à segurança de dados pessoais podem surgir é por meio do que são conhecidos como ataques de ‘phishing‘ ou ‘engenharia social‘.

Phishing é um exemplo de um tipo de engenharia social comumente usado para enganar os usuários. Phishing é quando alguém tenta enganar os usuários de forma fraudulenta, levando-os a divulgar informações confidenciais, como nomes de usuário, senhas ou detalhes de cartão de crédito, disfarçando-se como uma fonte confiável em uma comunicação eletrônica. Ao usar uma fonte confiável, ou nome, ou logotipo familiar como ‘isca’, os invasores podem ir ‘pescar’ por informações confidenciais, como dados pessoais.

Isso pode ser feito de várias maneiras, como ‘spoofing de e-mail‘ (onde endereços de e-mail ou nomes clonados ou semelhantes são usados) e direcionar os usuários para inserir informações confidenciais em um site falso (que se parece muito com o legítimo) ou fazer download com aparência inofensiva, mas sendo software malicioso (muitas vezes disfarçado como anexos de e-mail).

Dicas para detectar phishing ou engenharia social

Spoofing de e-mail

O spoofing de e-mail envolve um invasor enviando mensagens com um endereço de remetente forjado.

Como os principais protocolos técnicos para e-mail não têm um mecanismo de autenticação, os invasores costumam usar spoofing para enganar o destinatário sobre a origem de uma mensagem. Sistemas como SSL/TLS para criptografia de e-mail podem ajudar a evitar esse risco, mas muitas vezes não estão disponíveis ou não são utilizados para esse fim em muitas organizações.

• A maioria dos provedores de e-mail fornece algumas medidas de segurança para proteger contra esses tipos de emails, mas é importante verificar os detalhes do remetente, especialmente se um e-mail for suspeito.
• Por exemplo, certifique-se de que o endereço de e-mail em si, bem como qualquer nome ou nome de contato no corpo do e-mail correspondam.

Spear Phishing

Spear phishing é uma forma direcionada de phishing, em que o invasor tenta fazer seu ataque parecer mais legítimo adaptando-o à vítima pretendida.

Isso é comum para membros mais antigos de uma organização ou funcionários que têm responsabilidades em uma área sensível. O invasor pode ter feito seu dever de casa e incluído o nome correto, cargo, endereço de e-mail, etc. da vítima pretendida.

É particularmente importante para as organizações informarem seus funcionários que trabalham em tais áreas sobre o risco de ataques de phishing direcionados e se certificarem de que estão atentos a qualquer correspondência eletrônica que não estejam esperando.

Manipulação de link

O phishing geralmente envolve um engano técnico projetado para fazer um link em uma comunicação eletrônica parecer que pertence a uma fonte confiável.

Os phishers podem usar URLs com erros ortográficos ou subdomínios com sons legítimos para enganar os usuários e fazê-los clicar em um link.

• Por exemplo, a URL ‘www.truztedsource.ie’ pode ser usada para enganar os usuários para que cliquem em um link que eles acham que é para ‘www.trustedsource.ie’.
• Da mesma forma, os phishers podem usar um link como ‘www.trustedsource.secureinfo.ie’ para induzir os usuários a pensar que ele é um link para uma página de ‘informações seguras’ no site ‘trustedsource’, mas na verdade seria um link para o site ‘secureinfo.ie’, que pode ser uma página falsa criada pelo phisher.
• Às vezes, o texto exibido para um link parece um URL legítimo, mas o link quando você clica leva a outro lugar – por exemplo, http://www.trustedsource.ie/ realmente leva a ‘www.notatrustedsource.ie ‘.

Muitas vezes, você pode ver aonde o link real leva ao passar o cursor sobre o link, mas é importante lembrar que isso nem sempre é possível, como no caso da maioria dos aplicativos móveis.

• As organizações precisam garantir que a equipe tenha cuidado ao clicar em links para sites externos, especialmente em dispositivos móveis.
• As organizações devem considerar a implementação de medidas técnicas de segurança que podem ajudar a detectar e proteger contra a manipulação de links.

Engenharia social

A engenharia social pode assumir muitas formas e normalmente utiliza técnicas psicológicas sutis para induzir os usuários a realizar uma determinada ação.

Os usuários podem ser incentivados a clicar em vários tipos de conteúdo inesperado, como links ou anexos, por vários motivos profissionais, técnicos ou sociais.

Um e-mail pode entrar em uma caixa de entrada de trabalho marcada como ‘Importante!’ ou ‘URGENTE’, com um título e uma redação que procuram convencer a equipe a abrir rapidamente um anexo ou clicar em um link.

Um falso pop-up de segurança pode tentar assustar o usuário e fazê-lo clicar em um link, informando-o de que foi infectado por malware ou precisa atualizar o software de segurança. Ou um anúncio ou e-mail pode simplesmente encorajar alguém a clicar em um link, fingindo estar vinculado a alguma fofoca muito interessante no local de trabalho ou a uma manchete de notícia ultrajante.

• As organizações podem lembrar a equipe sobre o perigo de reagir às comunicações eletrônicas, mesmo quando pareça urgente.
• As organizações devem considerar medidas administrativas ou técnicas com relação a quais links podem ser clicados ou anexos baixados pela equipe, quando apropriado.

Phishing e outras práticas de engenharia social podem ser muito convincentes e apresentar um risco real para as organizações, especialmente em locais de trabalho com muitos funcionários e/ou um alto volume de comunicações eletrônicas.

É importante que, como parte de suas políticas gerais de segurança de dados, as organizações considerem se são vulneráveis a tais ataques e quais ‘medidas técnicas ou administrativas adequadas’ podem ser tomadas para reduzir quaisquer vulnerabilidades.

Abordagens para mitigar o risco de ataques

As organizações podem tomar várias medidas para se protegerem dos riscos de segurança de dados, como phishing e engenharia social, tais como:

• conduzir análises de riscos regulares e detalhadas;
• revisar comunicações internas e políticas de TI; e
• implementação de medidas de segurança física e técnica e treinamento de pessoal.

As organizações devem considerar o estado da arte em medidas técnicas e organizacionais, e os custos e proporcionalidade de implementação de certas medidas – a decisão deve levar em consideração não apenas a melhor e mais apropriada tecnologia aplicável, mas também o tamanho e a natureza da organização. conforme o volume e a natureza dos dados pessoais armazenados e de outra forma processados.

As organizações também devem levar em consideração as obrigações em relação à garantia da segurança e integridade de qualquer processamento de dados que seja feito em seu nome por operadores de dados pessoais, incluindo se os contratos de processamento de dados cobrem suficientemente os requisitos de segurança e integridade de processamento e o que fazer no caso de um incidente de segurança ou violação de dados pessoais.

Certos serviços utilizados por organizações, como serviços de e-mail baseados em nuvem, podem oferecer muitas vantagens às organizações. No entanto, eles também podem introduzir vulnerabilidades de segurança técnica, que as organizações precisam reconhecer. A não implementação de conformidade e controles de segurança adequados pode aumentar o risco de violação de dados pessoais por ataques de phishing ou engenharia social.

As organizações precisam implementar contramedidas para se protegerem contra ameaças gerais e especificamente introduzidas pelo software e serviços utilizados pela organização, como – acesso não autorizado a dados pessoais, sequestro de contas, roubo de identidade, fraude cibernética e hacking.

O ‘groupware’ baseado em nuvem (software que ajuda grupos de colegas a colaborar e organizar suas atividades), para e-mail e outras funções profissionais, como o Office 365 da Microsoft e o G Suite do Google fornecem configurações e soluções avançadas, que podem ajudar as organizações a protegê-los e combater ameaças. Os provedores de e-mail, na maioria dos casos, também fornecem orientação sobre as melhores práticas para ajudar as organizações a proteger seu serviço de e-mail.

Juntamente com as medidas de segurança técnica adequadas, o treinamento da equipe é obviamente uma das melhores maneiras de uma organização reduzir sua vulnerabilidade a phishing ou engenharia social. O treinamento pode – junto com medidas técnicas de segurança apropriadas – garantir que a equipe, especialmente aquela que trabalha com informações confidenciais, como dados pessoais, compreende os riscos e está equipada para evitar riscos, como não abrir e-mails de remetentes com os quais não estão familiarizados e evitar clicar em links contidos em um e-mail, a menos que você indique exatamente para onde ele está indo .

Uma abordagem em camadas para a segurança reduz o risco de falha de uma única medida de segurança, o que pode resultar na violação de dados pessoais por uma organização.

Recomendações para aumentar a segurança contra ataques

As recomendações a seguir podem ajudar as organizações a considerar quais medidas técnicas e organizacionais precisam ser implementadas para garantir a segurança e integridade dos dados pessoais que processam e protegem contra ataques de phishing e de engenharia social.

Nem todas as recomendações serão relevantes para todas as organizações, mas devem ser consideradas no contexto do trabalho de uma organização e dos tipos de processamento de dados em que ela se envolve, para implementar aqueles mais adequados em cada caso:

• Revise todas as configurações de segurança padrão, incluindo senhas e credenciais, fornecidas por qualquer serviço de e-mail ou groupware utilizado pela organização.
• Aplique autenticação multifator para administradores, usuários remotos ou baseados na web de e-mail, bancos de dados ou sistemas de organização, incluindo qualquer parceiro de serviço gerenciado ou administradores.
• Implemente regras para filtrar e detectar e-mails suspeitos e / ou spam.
• Crie regras para como mensagens e anexos são tratados com base em condições como tipo de arquivo ou tamanho da mensagem.
• Ative a auditoria para garantir que haja um registro de auditoria disponível para rastrear a ação do usuário no sistema de e-mail.
• Certifique-se de que os usuários tenham as permissões de e-mail baseadas em funções corretas – com relação aos direitos do sistema, gerenciamento ou configuração.
• Desative o acesso remoto ou baseado na Web a e-mail, bancos de dados ou outros sistemas para funcionários que trabalham principalmente com o escritório.
• Implemente controles para evitar que os usuários encaminhem automaticamente email (s) para endereços de email externos.
• Revise regularmente todas as regras de encaminhamento habilitadas para groupware baseado em e-mail para garantir que não haja regras desnecessárias ou não aprovadas.
• Configure uma política para fornecer um aviso (sugestão visual) quando um email é enviado a um contato externo ou organização (por exemplo, dicas de segurança do Office 365).
• Configure políticas para fornecer alertas sobre o comportamento de entrada, como acesso irregular à geolocalização.
• Configure uma política de prevenção de perda de dados para identificar e monitorar automaticamente quaisquer informações confidenciais (por exemplo, dados bancários) sendo enviadas por e-mail para endereços externos.
• Revise regularmente as políticas de acesso à web (filtragem) para proibir o acesso a sites maliciosos (phishing) ou em sites apropriados.
• Implementar um processo de controle para aprovar e proteger todos os dispositivos que acessam o e-mail.
• Crie políticas de acesso de e-mail apropriadas para áreas como Traga seu próprio dispositivo (BYOD).
• Gerencie dispositivos móveis inscrevendo-os em uma solução de gerenciamento de dispositivos móveis (para potencialmente localizar, bloquear e limpar em caso de perda).
• Mantenha e analise regularmente um inventário de dispositivos móveis aprovados para acessar e-mail e remova quaisquer dispositivos que não sejam mais necessários.
• Desenvolva um plano de resposta a incidentes para fornecer uma estrutura para o gerenciamento de qualquer incidente (s) de segurança.
• Exigir que os e-mails sejam transmitidos por meio de uma conexão segura (criptografada) como TLS 1.2.
• Revise todas as políticas de arquivamento de e-mail para reduzir o volume de informações contidas nas caixas de correio.
• Implementar criptografia em repouso para caixas de correio.
• Emita atualizações relevantes para a equipe sobre a importância de permanecer vigilante em relação às tentativas de engenharia social por e-mail e outros vetores de ataque. Integre essas atualizações em um processo de educação contínua sobre segurança cibernética e ameaças associadas.
• Certifique-se de que a equipe seja capaz de entrar em contato com alguém, como um gerente ou especialista de TI interno ou externo, quando houver dúvidas sobre riscos à segurança de dados, como uma comunicação suspeita, link, anexo ou pop-up.
• Considere a implementação de métodos avançados de proteção de e-mail, como Sender Policy Framenwork (SPF), Domain Keys Identified Mail (DKIM), Domain Based Message Authentication, Reporting and Conformance (DMARC).

As organizações são lembradas de que, de acordo com a LGPD, as organizações devem relatar violações de dados pessoais à ANPD quando a violação representar um risco ou dano relevante para os indivíduos afetados. As organizações devem fazer isso em prazo razoável (o prazo será regulamentado pela ANPD) após tomarem conhecimento da violação. Quando uma violação pode resultar em um alto risco para os indivíduos afetados, as organizações também devem informar esses indivíduos sem atrasos indevidos.

---

Este texto foi adaptado de: https://www.dataprotection.ie/en/dpc-guidance/guidance-organisations-phishing-and-social-engineering-attacks