Falemos de spoofing por um minuto. Quando ouve palavras como "phishing", "comprometimento de correio eletrónico empresarial" ou "cibercrime", qual é a primeira coisa que lhe vem à cabeça? A maioria das pessoas pensaria em algo relacionado com a segurança do correio eletrónico e, provavelmente, você também. E está absolutamente correto: cada um dos termos que acabei de mencionar são formas de ciberataque, em que um criminoso utiliza a engenharia social e outras técnicas para obter acesso a informações sensíveis e dinheiro. Obviamente, isso é mau e as organizações devem fazer tudo o que puderem para se protegerem contra isso.
Mas há outro lado disto, um outro que algumas organizações simplesmente não consideram, e que é igualmente importante para elas. O Phishing não o coloca apenas em maior risco de perder dados e dinheiro, mas a sua marca também tem uma probabilidade igualmente grande de perder. De facto, essa probabilidade é de 63%: é o número de consumidores que provavelmente deixarão de comprar uma marca após apenas uma única experiência insatisfatória.
Como é que os ataques de phishing por e-mail prejudicam a sua marca?
Compreender como o phishing pode comprometer os sistemas da sua organização é bastante simples. Mas os efeitos a longo prazo de um único ciberataque? Nem por isso.
Pense desta forma. Na maioria dos casos, um utilizador que verifique o seu e-mail irá provavelmente clicar num e-mail de uma pessoa ou marca que conhece e em quem confia. Se o e-mail parecer suficientemente realista, nem sequer notariam a diferença entre um que é falso e um que não o é. O e-mail pode até ter uma ligação que conduza a uma página que se pareça exactamente com o portal de login da sua organização, onde escrevem o seu nome de utilizador e palavra-passe.
Mais tarde, quando souberem que os detalhes do seu cartão de crédito e endereço foram divulgados ao público, não há a quem recorrer senão à sua organização. Afinal, foi "o seu correio electrónico" que causou o desastre, a sua falta de segurança. Quando os seus próprios clientes perdem totalmente a confiança na sua marca e na sua credibilidade, pode causar enormes problemas para a óptica da sua marca. Não é apenas a empresa que foi pirateada, é a empresa que permitiu que os seus dados fossem roubados através de um e-mail que enviou.
Não é difícil ver como isto pode prejudicar seriamente os seus resultados a longo prazo, especialmente quando novos clientes potenciais são desligados pela perspectiva de serem outra vítima dos seus e-mails. Os cibercriminosos tomam a confiança e lealdade que os seus clientes têm na sua marca, e usam-na activamente contra si. E é isso que torna o Business Email Compromise (BEC) muito mais do que uma questão de segurança técnica.
Quais são algumas das indústrias mais prejudicadas?
As empresas farmacêuticas são algumas das empresas mais frequentemente alvo de phishing e cyberattacks. De acordo com um estudo das empresas farmacêuticas da Fortune 500, apenas nos últimos 3 meses de 2018, cada empresa enfrentou, em média, 71 ataques de fraude por correio electrónico. Isto porque as empresas farmacêuticas detêm propriedade intelectual valiosa sobre novos produtos químicos e produtos farmacêuticos. Se um atacante pode roubar esta informação, pode vendê-la no mercado negro para obter um lucro elevado.
As empresas de proptech do sector da construção e do imobiliário também não ficam muito atrás. O roubo de ideias de design de brochuras imobiliárias é o mais comum. As empresas de serviços financeiros e as instituições financeiras, em particular, enfrentam a ameaça constante de verem roubados dados sensíveis ou grandes somas de dinheiro através de ataques comerciais cuidadosamente planeados, bem como ataques de comprometimento de e-mail de fornecedores (VEC).
Todas estas indústrias beneficiam muito com a confiança dos clientes nas suas marcas, e a sua relação com as marcas influencia directamente os seus negócios com as empresas. Se um consumidor sentisse que essa empresa não era capaz de manter os seus dados, dinheiro ou outros bens seguros, isso seria prejudicial para a marca, e por vezes, irremediavelmente.
Saiba mais sobre segurança de correio electrónico para a sua indústria específica.
Como se pode salvar a sua marca?
O marketing tem tudo a ver com a construção da sua imagem de marca em algo que o público não se lembre apenas, mas que associe com qualidade e fiabilidade. E o primeiro passo para isso é assegurar o seu domínio.
Os cibercriminosos falsificam o domínio da sua organização e imitam a sua marca, por isso, quando enviam um e-mail a um utilizador insuspeito, vai parecer que está a vir de si. Em vez de esperar que os utilizadores identifiquem quais os e-mails que são reais e quais os que não são (o que muitas vezes é quase impossível, particularmente para os leigos), pode, em vez disso, impedir que esses e-mails entrem por completo nas caixas de entrada dos utilizadores.
O DMARC é um protocolo de autenticação de correio eletrónico que funciona como um manual de instruções para um servidor de correio eletrónico recetor. Sempre que um e-mail é enviado a partir do seu domínio, o servidor de e-mail do destinatário verifica os seus registos DMARC (publicados no seu DNS) e valida o e-mail. Se a mensagem de correio eletrónico for legítima, "passa" na autenticação DMARC e é entregue na caixa de entrada do utilizador.
Se o correio eletrónico for de um remetente não autorizado, dependendo da sua política DMARC, o correio eletrónico pode ser enviado diretamente para spam ou mesmo bloqueado.
Saiba mais sobre como funciona o DMARC aqui.
O DMARC pode eliminar quase completamente todas as mensagens de correio electrónico não solicitado (spam) com origem no seu domínio, porque em vez de bloquear as mensagens falsas à medida que deixam o seu domínio, verifica a autenticidade à medida que a mensagem de correio electrónico chega ao servidor do receptor.
Se já implementou o DMARC e está à procura de formas de levar a segurança da sua marca ainda mais longe, existem os Indicadores de marca para identificação de mensagens(BIMI). Esta nova norma de segurança de correio eletrónico coloca o logótipo da sua marca junto a cada correio eletrónico do seu domínio que tenha sido autenticado pelo DMARC.
Agora, quando os seus clientes virem um e-mail que tenha enviado, associarão o seu logótipo à sua marca, melhorando a recordação da marca. E quando virem o seu logótipo, aprenderão a confiar apenas em e-mails que tenham o seu logótipo ao seu lado.
- A ascensão de esquemas de pretexto em ataques de phishing reforçados - 15 de janeiro de 2025
- DMARC torna-se obrigatório para a indústria de cartões de pagamento a partir de 2025 - 12 de janeiro de 2025
- Alterações do NCSC Mail Check e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido - 11 de janeiro de 2025