Incidentes de segurança estão se tornando cada vez mais comuns em Startups, causando danos milionários em companhias e até sendo alvo de séries de televisão, como o caso apresentado na primeira temporada de “Uma advogada extraordinária" da Netflix. Estes incidentes podem ser causados pela exploração, por um agente mal intencionado, de uma vulnerabilidade da empresa, que, no caso do phishing, pode ser justamente seus colaboradores sem treinamento adequado.
Phishing é um tipo de ataque que usa métodos de engenharia social para, através de meios fraudulentos, fornecer acesso indevido a bancos de dados ou conjunto de informações. Exemplos deste tipo de ataque estão em emails enviados por terceiros que fingem ser parceiros, clientes, ou até mesmo membros de outros setores da empresa solicitando informações, incluindo links ou anexos com malware.
Golpes que se utilizam de engenharia social criam situações a fim de manipular pessoas para que elas compartilhem seus dados pessoais ou realizem ações, como enviar dinheiro, visitar sites, pagar boletos, entre outros. Métodos de engenharia social, normalmente utilizam das seguintes estratégias:
- Se passar por uma pessoa ou empresa conhecida;
- Se passar por um órgão público;
- Incluir uma chamada para ação que cause medo ou urgência;
- Incluir alegação de falsos prêmios ou recebimento de bens e dinheiro;
- Utilizar mensagens que despertam a curiosidade.
Até mesmo empresas de grande porte como Google e Facebook foram vítimas deste tipo de ataque e no Brasil, pode ser passível de sanções pela Autoridade Nacional de Proteção de Dados (“ANPD”). Neste sentido, para proteger sua empresa deste tipo de ação maliciosa, é importante possuir Políticas de Segurança da Informação bem estruturadas, e treinar seus colaboradores.
A ANPD, deixa claro, em seu Guia de Segurança da Informação para Agentes de Pequeno Porte, no qual pode estar incluídos as Startups, que a conscientização de colaboradores para que estes consigam identificar um possível risco de fraude é imprescindível para as empresas.
1. Como identificar um e-mail phishing?
Então na prática, como saber que o e-mail pode ser phishing? Como citado anteriormente os métodos de engenharia social usam táticas conhecidas, a partir disso, são indícios de um e-mail perigoso:
- Chamada à ação urgente ou que contenha ameaças;
- Remetentes com domínio não empresarial ou novos;
- Má gramática ou erros de tradução;
- Saudações genéricas, sem a identificação de destinatário;
- Ligações suspeitas ou anexos inesperados.
Os colaboradores da Startup devem ser treinados para identificar possíveis riscos de phishing, confirmar a origem daquele email por outro meio, como ligação e serem instruídos a denunciar o e-mail suspeito e apagá-lo. Outra medida interessante, é a verificação, por meio de teste de simulação, da efetividade destes treinamentos.
2. Política de Segurança da Informação para medidas anti Phishing
A Política de Segurança da Informação (PSI) é definida como “um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização”. Por meio dela, a empresa poderá divulgar seus esforços para combater o Phishing criando regras internas objetivas para impedir que agentes explorem este tipo de tática para causar danos a Startup.
São algumas regras que podem ser citadas na Política de Segurança da informação de sua Startup, para combater esse tipo de vulnerabilidade:
- Proibição de instalação ou abertura de arquivos recebidos de entidades desconhecidas.
- Desativação dos recursos de 'autorun' que acionam qualquer mídia para ser montada e executada assim que for conectada ao PC.
- Proibição de abertura de arquivos executáveis recebidos por e-mail ou pelo navegador (Por exemplo, componentes ActiveX).
- Procedimentos para verificação da origem do email antes de qualquer compartilhamento de informações.
Conclusão
Em suma, ataques de Phising podem ser muito prejudiciais para as empresas, uma vez que podem ocasionar vazamentos de dados pessoais ou fraudes, para se protegerem deste tipo de situação, as empresas devem ensinar seus funcionários a reconhecer sinais de um email fraudulento e ter políticas de segurança da informação implementadas.
Dito isso, é muito importante que sua empresa conte com assessoria especializada em Privacidade e Proteção de Dados a fim de realizar treinamentos internos e elaborar documentos importantes para a saúde da sua Startup, como a Política de Segurança da Informação.
Por Laís Arduini