Afastando os fraudadores: como as organizações podem se proteger de ataques cibernéticos (Aileen Allkins)

Em 2015, um executivo sênior da Mattel recebeu um e-mail do recém-nomeado CEO da empresa. A nota solicitava o processamento de um pagamento em atraso a um fabricante conhecido. Ao agir de acordo com o e-mail, o executivo cometeu um erro de US$ 3 milhões.

Ataques cibernéticos desse tipo são conhecidos como e-mails 'whaling', que, em vez do método 'copiar e colar' de mensagens de phishing familiares a qualquer pessoa com um endereço de e-mail, usam mimetismo altamente específico e ultrarrealista para atingir executivos de alto nível.

Os e-mails de caça às baleias podem incluir vários elementos nefastos, como links para malware ou solicitações de transferência de fundos ou dados confidenciais. Independentemente da abordagem particular do atacante, o sucesso das tentativas de caça às baleias depende de lacunas na alfabetização digital do alvo.

As preocupações com a segurança cibernética são especialmente importantes na agenda do setor de serviços financeiros, com o Banco da Inglaterra e o Banco Central Europeu exigindo recentemente que os principais credores forneçam planos detalhados de como responderiam a uma violação cibernética em meio a um apelo mais amplo para reprimir a segurança cibernética no setor. Como parte de sua abordagem para lidar com o problema, as organizações de serviços financeiros devem garantir que a equipe em todos os níveis seja qualificada para identificar e responder a uma violação de segurança cibernética.

Em ascensão

45% dos especialistas em segurança e TI recentemente inquiridas pela PwC previu um aumento nos ataques de ransomware, e a IA está permitindo que hackers que usam baleeiras cometam golpes com precisão nunca antes vista. Mais de 60 ataques cibernéticos 'significativos' nacionalmente ocorreram no Reino Unido em 2022,
de acordo com Centro Nacional de Segurança Cibernética

Mesmo quando os programas de segurança cibernética estão em vigor, os funcionários individuais costumam ser a brecha na armadura de uma empresa. Firewalls, filtros de phishing e software antivírus são importantes, mas a presença de boas habilidades e educação em segurança cibernética em toda a força de trabalho é uma linha de defesa crucial contra uma violação grave de dados que causa a perda de milhões de dólares.

Embora as ferramentas usadas para facilitar ataques como o whaling possam ser sofisticadas, existem alguns processos simples, mas altamente eficazes, nos quais os indivíduos podem ser treinados para proteger uma empresa contra o whaling e outros tipos de ataques cibernéticos.

Habilidades de cibersegurança para todos

A alfabetização digital é um pré-requisito para qualquer função que envolva trabalhar com tecnologia, que cobre a grande maioria dos cargos em serviços financeiros. A conscientização sobre segurança cibernética é uma parte crucial disso. As empresas estão amplamente conscientes da necessidade de sistemas de segurança cibernética de alto nível, mas frequentemente ignoram o papel dos recursos digitais dos indivíduos na manutenção de um ecossistema digital seguro.

A segurança cibernética não deve, portanto, ser vista como uma função autônoma sob a responsabilidade exclusiva do departamento de tecnologia, mas como um conjunto de habilidades que deve estar presente em toda a organização. A equipe deve ser treinada regularmente em segurança cibernética para manter os funcionários atualizados com o protocolo e garantir a conscientização de toda a empresa sobre possíveis ameaças e melhores práticas.

Por exemplo, saber como identificar endereços de e-mail fraudulentos, ser diligente em não abrir anexos não solicitados e conhecer os canais adequados para relatar ataques suspeitos são habilidades básicas, mas de alto impacto, nas quais todos os funcionários devem ser treinados.

Diligência em toda a linha

A força dos baleeiros reside em sua capacidade de imitar de perto um funcionário usando um endereço de e-mail a uma letra do endereço autêntico, linguagem alinhada com a voz típica do remetente autêntico e detalhes de negócios ou eventos genuínos que são familiares ao alvo. Quer a comunicação seja redigida por IA ou por uma pessoa, a caça às baleias depende de dados de origem para imitar.

Informações pessoais, como aniversários e hobbies extraídas de perfis de mídia social, podem adicionar detalhes convincentes a comunicações falsificadas, e os hackers são conhecidos por usar dados de agendamento de documentos descartados para evitar o contato com a vítima quando estão em uma reunião com o indivíduo que está sendo representado.

A capacitação contínua em segurança cibernética deve ser a base para estabelecer uma cultura de conscientização sobre segurança operacional. Desenvolver uma noção de quais informações podem representar um risco e saber como proteger adequadamente as informações garantirá que os indivíduos possam identificar e interromper atividades aparentemente inócuas que fornecem combustível para hackers. Os membros da equipe devem ser treinados para garantir que sua presença online pessoal não permita hackers por meio de habilidades em configurações de privacidade, configuração de firewalls, software antivírus e uso de criptografia.

Dois é um número mágico

Embora a conscientização da segurança cibernética em toda a força de trabalho possa fornecer um escudo poderoso contra muitos hacks, um segundo filtro para a verificação de qualquer ação sensível, como a transferência de fundos ou dados, também é essencial.

Os ataques baleeiros dependem fortemente da autoridade do indivíduo alvo. Mesmo para executivos de alto escalão, o protocolo deve estar em vigor para evitar que qualquer indivíduo verifique uma ação sem esclarecimento secundário.

A verificação em duas etapas pode ser um processo automatizado incorporado ao software da empresa ou processos manuais. Se a segunda etapa da verificação vem de um indivíduo separado ou da mesma pessoa, mas em uma plataforma diferente, a empresa deve garantir que a equipe esteja totalmente qualificada na prática adequada para a verificação em duas etapas, e o treinamento regular de segurança cibernética torna essa prática habitual.  

Habilidades de segurança cibernética não são um luxo

Mesmo os sistemas automatizados de segurança cibernética mais robustos podem se tornar redundantes por hackers capazes de mobilizar o pessoal de uma organização contra eles. Esforços contínuos e educação atualizada sobre práticas seguras são essenciais para prevenir a caça às baleias e outros tipos de ataques cibernéticos.

As empresas devem conduzir avaliações regulares sobre sua infraestrutura de segurança cibernética, políticas e habilidades de sua força de trabalho para garantir que todos estejam trabalhando de forma eficaz para se defender contra toda a gama de possíveis ataques. Isso exige que as pessoas sejam treinadas para realizar adequadamente essas avaliações e manter as melhores práticas, ou as empresas podem procurar investir em suporte externo de segurança cibernética.

O investimento em habilidades de segurança cibernética não é um luxo, mas uma necessidade, e aqueles que não conseguem configurar e manter sistemas e protocolos adequados para se defender contra hackers se expõem a fraudes ou violações de dados. Com reguladores e órgãos governamentais prestando atenção especial à vulnerabilidade do setor de serviços financeiros a ataques cibernéticos, é uma questão que não pode esperar.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Fonte: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs