Porque é que os phishers visam os novos empregados?

Blogue, Cibersegurança

Porque é que os novos funcionários são os principais alvos dos phishers? Explore as razões por detrás desta tendência e saiba como proteger a sua força de trabalho de esquemas de phishing.

por Ahona Rudra

Tempo de leitura: 6 min
Porque é que os phishers visam os novos empregados?
Índice-

Ao longo dos anos, a tecnologia tornou-se mais assertiva em todos os domínios. Os avanços tecnológicos também permitiram que os cibercriminosos descobrissem formas inovadoras de roubar informações.

Normalmente, o alvo são as grandes empresas com milhares de empregados. No entanto, este facto não isenta as empresas mais pequenas da linha de fogo. A falta de medidas de cibersegurança adequadas torna mais fácil para os phishers encontrarem o ponto mais fraco, normalmente um novo empregado.

Foi registado que um em cada quatro empregados admite ter clicado nas ligações anexas a mensagens de correio eletrónico de phishing.

Por conseguinte, as organizações precisam de conceber e implementar estratégias para evitar ataques de phishing. Também é necessária uma formação completa dos funcionários e a consciencialização para os cibercrimes. Este artigo tem como objetivo familiarizá-lo com os esquemas de phishing dos funcionários, os seus tipos e as formas de os combater.

Takeaways de chaves

  1. Os cibercriminosos visam cada vez mais as grandes empresas e as pequenas empresas através de ataques de phishing.
  2. Os novos funcionários são particularmente vulneráveis devido à sua falta de familiaridade com os protocolos da empresa e as melhores práticas de cibersegurança.
  3. Os ataques de phishing envolvem frequentemente mensagens personalizadas que tentam iludir as suspeitas e manipular o destinatário para que este revele informações sensíveis.
  4. A formação regular dos funcionários e os programas de sensibilização são essenciais para equipar os trabalhadores com as competências necessárias para reconhecer e responder a ameaças de phishing.
  5. A implementação de medidas robustas de segurança de correio eletrónico, incluindo SPF, DKIM e DMARC, pode reduzir significativamente o risco de tentativas de phishing bem sucedidas contra uma empresa.

Compreender o phishing

O phishing é um tipo de ciberataque em que os burlões enganam as pessoas para que forneçam informações vitais através de e-mails e ligações falsas. As informações variam muito consoante o alvo do phisher e são geralmente de natureza sensível. 

As informações contêm normalmente detalhes de início de sessão, informações sobre contas, palavras-passe e credenciais bancárias, etc. Um ataque de phishing bem sucedido é capaz de causar perdas em grande escala para uma empresa. Não só viola informações sensíveis, como também pode difamar a empresa ao utilizar as suas informações confidenciais.

Simplifique a segurança com o PowerDMARC!

Teste grátis 15 diasMarcar demo

4 ataques de phishing comuns dirigidos a novos funcionários

A maioria dos ataques de phishing dirigidos aos empregados baseia-se em mensagens personalizadas. O conteúdo da mensagem é formatado de forma a parecer relacionável com o utilizador, para evitar suspeitas. 

Ao longo do tempo, os atacantes modificaram os hábitos tradicionais de phishing. Por conseguinte, é obrigatório atualizar os conhecimentos dos funcionários sobre os tipos de ataques de phishing. Isso ajudá-los-á a reconhecer prontamente um ataque. De seguida, apresentam-se alguns ataques de phishing comuns dirigidos aos trabalhadores.

1. E-mails de phishing de funcionários

É o ataque de phishing mais comum e a forma mais conveniente de enganar os novos empregados. Estes tipos de ataques são propagados através de mensagens de correio eletrónico. O atacante cria uma mensagem de correio eletrónico fazendo-se passar pela empresa-mãe do empregado, na tentativa de roubar informações sensíveis.

A IA influenciou drasticamente esses ataques de phishing, ajudando os atacantes a gerar mensagens electrónicas de phishing de alta qualidade sem erros identificáveis. 

2. Spear Phishing

Spear Phishing é uma forma altamente direccionada de ataque de phishing. Têm um objetivo específico para atingir esse funcionário. Depois de recolher informações sobre o utilizador, é criado e enviado um e-mail personalizado. Este e-mail faz-se passar por uma fonte legítima que a vítima reconhece instantaneamente.

No spear phishing, o e-mail malicioso começa normalmente com o nome do destinatário em vez de uma saudação geral. O atacante acrescenta normalmente os detalhes do trabalho ou da conta do empregado e pede-lhe que inicie sessão na conta para atuar.

3. Caça à baleia

A caça à baleia ocorre da mesma forma que o phishing. Neste caso, os atacantes têm como alvo trabalhadores de alto nível, como executivos de topo. Tal como outros ataques de phishing, também utiliza um e-mail malicioso ou uma mensagem com algum sentido de urgência.

Envolve a personificação destes executivos de alto nível, normalmente incitando as vítimas a abrir um anexo ligado a um e-mail malicioso ou a partilhar dados sensíveis. Uma vez recolhida a informação alvo, esta pode ser utilizada para explorar os dados da empresa.

4. Ataques de phishing do tipo "Angler

Este é um tipo relativamente novo de ataque de phishing. O phishing do tipo "Angler utiliza as redes sociais ou um sítio Web para espalhar malware. Os empregados são persuadidos a abrir um URL específico ou um tweet. O sítio Web pode pedir aos novos empregados que introduzam os dados de início de sessão para executar a função pretendida, o que resulta numa violação de dados.

Além disso, neste tipo, os phishers também utilizam os dados publicados pelos empregados nas suas contas de redes sociais para criar ataques altamente direccionados.

Porque é que os novos contratados são alvos fáceis?

Eis algumas razões que explicam porque é que os phishers consideram os novos empregados fáceis de atingir. 

Falta de familiaridade com os protocolos da empresa

Normalmente, a integração de novos funcionários envolve garantir que eles se familiarizem com as políticas da empresa e as práticas recomendadas de segurança.
Também têm de perceber o tipo de informações da empresa que são 100% confidenciais e que não devem ser divulgadas em circunstância alguma. Por vezes, os novos funcionários também precisam de ajuda para reconhecer endereços de correio eletrónico da empresa autênticos e falsos.

Conhecimento limitado das melhores práticas de cibersegurança

Os trabalhadores recém-chegados ao terreno precisam normalmente de mais conhecimentos sobre as ciberameaças. Não têm conhecimento das vulnerabilidades e das pontas soltas, o que os pode tornar facilmente burlados. Mesmo que conheçam os ataques de phishing, não sabem quais as potenciais soluções e estratégias de prevenção.

Maior vontade de provar o seu valor

Os novos empregados têm uma grande paixão por se mostrarem no seu novo local de trabalho. São rápidos a agir de acordo com as instruções e seguem as direcções cegamente, sem verificação. Tentam manter-se activos e responder a todos os e-mails enviados pelos funcionários da empresa de forma eficiente. Os phishers utilizam este sentido de urgência para os atrair para ataques de phishing.

Como as organizações falham na cibersegurança dos empregados 

As ineficiências organizacionais também desempenham um papel significativo no facto de os seus empregados serem burlados.

Programas de formação insuficientes

A formação e a sensibilização para a cibersegurança devem ser ministradas aos trabalhadores no início do seu trabalho. A organização deve organizar essas sessões de formação interna. Estas devem sensibilizar toda a força de trabalho para as potenciais ameaças e respectivas soluções. A criação de uma cultura de valorização através de recompensas e reconhecimento dos funcionários, tais como prémios personalizáveis ou placas de reconhecimento feitas à medida, pode ajudar a motivar os funcionários a participarem ativamente na formação em cibersegurança e a manterem-se vigilantes contra potenciais ameaças.

Dependência da comunicação por correio eletrónico

O e-mail tem sido a principal fonte de comunicação entre os funcionários há muito tempo. Uma vez que o e-mail é também o maior alvo dos phishers, as empresas podem considerar mudar para plataformas de comunicação de equipas personalizadas como o Discord, Slack ou Microsoft Teams para a comunicação diária entre funcionários. Enquanto os e-mails podem ser reservados para cenários específicos e comunicações com clientes. 

Falta de segurança do correio eletrónico 

As organizações ignoram frequentemente as melhores práticas de segurança do correio eletrónico, como a autenticação com SPF, DKIMe DMARC. Isto deixa os seus domínios vulneráveis a ataques de falsificação de identidade, phishing e spoofing. Isto também facilita o envio de mensagens de correio eletrónico falsas a novos empregados a partir de domínios falsos da empresa.

Falta de controlo da conformidade 

A simples configuração de protocolos de autenticação de correio eletrónico não é suficiente! A menos que as organizações apliquem as suas políticas DMARC, os seus domínios permanecem vulneráveis a ameaças transmitidas por correio eletrónico.

Para fazer a transição segura de uma política sem ação para uma política política DMARC, inscreva-se com o PowerDMARC.

Importância da sensibilização e formação dos trabalhadores 

As formações de sensibilização dos funcionários são mais do que uma mera formalidade. O treinamento gratuito de treinamento de segurança de e-mail do PowerDMARC ajudaram milhares de candidatos, incluindo os nossos próprios funcionários, a manterem-se vigilantes e conscientes face às ameaças por correio eletrónico.

Além disso, os novos empregados podem utilizar algumas das seguintes dicas e estratégias para evitar ataques de phishing.

  • Mantenha-se informado sobre os ataques de phishing, participe em sessões de formação sobre segurança e conheça as últimas tendências em matéria de cibersegurança, tais como IA e computação quântica.
  • Verificar com atenção a legitimidade das contas de correio eletrónico e das ligações anexas. Evite mensagens de correio eletrónico que usem um sentido de urgência ou que peçam uma ação urgente.
  • Mantenha todo o software e ferramentas de segurança actualizados e sem vírus - actualize os sistemas com software anti-vírus, anti-malware e firewall.
  • Mova o cursor sobre a hiperligação anexa e leia atentamente o contexto para evitar mensagens de correio eletrónico suspeitas. Se suspeitar da autenticidade da mensagem, contacte o remetente e confirme com ele através de qualquer outra plataforma.
  • Proteja os seus domínios de correio eletrónico utilizando protocolos avançados de autenticação de correio eletrónico como SPF, DMARCe DKIM.

Resumindo 

Para todas as empresas, os funcionários são uma fonte essencial de defesa contra violações de dados. No entanto, os e-mails maliciosos continuam a chegar às caixas de entrada dos funcionários, mesmo depois de vários protocolos de segurança. 

Portanto, a única coisa que pode evitar que as organizações sejam atacadas é estabelecer medidas preventivas e escolher os provedores de serviços de segurança corretos. O PowerDMARC tem ajudado organizações de todas as dimensões a alinhar as suas necessidades de segurança do domínio e a atingir a conformidade sem implicações negativas na capacidade de entrega de correio eletrónico. Para melhorar a segurança do seu domínio, pode contactar-nos hoje mesmo!

Últimos posts de Ahona Rudra (ver todos)
Como adicionar registos DMARC, SPF e DKIM da Cloudflare? Guia de configuração fácilComo adicionar registos DMARC, SPF e DKIM do Cloudflare - Guia de configuração fácilComo configurar registros DMARC, SPF e DKIM da SendGrid? Guia fácil passo a passo