A fraude cibernética pode prejudicar uma empresa causando desde pequenos colapsos, falhas de comunicação até perdas de mercado. Esse tipo de ação corrói a confiança em uma empresa, podendo levar a um pipeline vazio, a baixos volumes de vendas e à falência das organizações. Pelo lado do usuário final, o impacto envolve roubo de dados pessoais, golpes financeiros, e engenharia social para a pessoa ser usada em acesso a redes corporativas.
Diante do atual cenário de ciberataques e ciberameaças na era da IA, os especialistas da Check Point Software atualizam uma abordagem consistente e metódica à prevenção de fraudes que pode levar a uma maior certeza em torno das receitas, a melhores experiências dos clientes e a colaboradores mais conscientizados – tudo isto contribuindo para um negócio mais forte e seguro.
“Nosso objetivo é fazer com que organizações e pessoas reconheçam e previnam fraudes, além de tirar proveito disso como uma oportunidade para alcançar os melhores resultados de negócios e maior proteção de dados pessoais e corporativos”, explica Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
É importante atualizar os dados sobre o cenário de ameaças cibernéticas no Brasil, o qual hoje mostra que uma organização no país tem sido atacada em média 1.460 vezes por semana nos últimos seis meses (maio a outubro de 2023), em comparação com 1.108 ataques por organização globalmente. Além de 87% dos arquivos maliciosos no Brasil terem sido entregues via web nos últimos 30 dias. Este cenário foi extraído do Relatório de Inteligência de Ameaças da Check Point Software.
Entre as ameaças de fraude, o phishing segue sendo um dos mais importantes. Ele nvolve mensagens enviadas por fraudadores, que se passam por organizações ou indivíduos legítimos. É um importante catalisador de fraudes corporativas. Para evitar phishing, proteja e-mails de entrada, saída e internos.
Implementar ferramentas robustas de segurança de e-mail que possam identificar novos esquemas de e-mail, eliminar ameaças antes que elas cheguem aos usuários (sem afetar o fluxo de trabalho ou a produtividade) e que forneçam insights sobre os tipos de ataques de phishing que atingem sua organização são as melhores abordagens.
Um golpe também pode ser cometido por alguém – interna ou externamente – que invadiu suas contas corporativas. A companhia deve se certificar de que todos em sua organização usem senhas difíceis de decifrar que envolvam letras, números e símbolos.
As senhas ainda devem ser alteradas com frequência. Proibir o uso de nomes de usuário e senhas compartilhadas. Quando os funcionários saírem da empresa, certifique-se de que as informações de login sejam atualizadas de forma eficiente.
Além disso, a palavra-chave padrão da sua rede sem fio com o nome padrão usado para identificar sua rede. Os usuários devem evitar compartilhar amplamente o nome da rede e considerar criptografá-la.
Os fraudadores podem tentar vários tipos diferentes de fraude de pagamento. Para bloquear esse tipo de abuso comercial, revise e reconcilie contas bancárias diariamente. Isso permitirá que sua organização observe discrepâncias e tome medidas em relação a transações suspeitas ou pagamentos perdidos.
Além disso, quando se trata de solicitações relacionadas a contas feitas por executivos da empresa, uma opção é solicitar que todos os pedidos e alterações sejam verificados por telefone ou pessoalmente, em vez de depender apenas da confirmação por e-mail.
Algumas organizações encontram tentativas enganosas e duvidosas com frequência. É aqui que o volume de dados pode sobrecarregar as equipes. É também onde o aprendizado de máquina pode ajudar as equipes a dimensionar a prevenção de fraudes.
Um sistema de aprendizado de máquina pode estudar padrões históricos, examinar grandes volumes de dados, identificar novos padrões e sugerir regras de gerenciamento de risco adequadas. Devido à natureza das ferramentas de ML, esses sistemas também podem melhorar com o tempo, fornecendo insights e análises cada vez mais úteis, ao mesmo tempo que diminuem a carga para sua equipe de segurança.
Todas as empresas devem avaliar a utilidade dos softwares e procedimentos de prevenção de fraude existentes para garantir que eles protegem eficazmente contra a fraude (e que não foram manipulados de forma alguma). Algumas organizações consideram útil que tanto o pessoal interno como parceiros externos de confiança realizem tais revisões.
Os esquemas de fraude geralmente visam ou envolvem a personificação do executivo. Estes tipos de ataques são notoriamente difíceis de detectar e de se defender, especialmente se a gestão do alto escalão não tiver um elevado nível de sensibilização para a segurança. Os líderes precisam saber sobre fraudes do tipo BEC (comprometimento de e-mail corporativo), deepfakes, spear phishing, entre outros.
Os fraudadores podem tentar espiar as transações de e-mail de uma empresa para obter informações, permitindo que os fraudadores executem golpes bem disfarçados posteriormente. Proteja informações confidenciais durante a transmissão e armazenamento. A criptografia simplesmente fornece outra camada de segurança. Caso os dados sejam interceptados, os fraudadores não serão capazes de analisá-los, nem de transformar as informações.
Faça parceria com especialistas e consultores do setor para tomar decisões mais informadas, identificar pontos fracos em sua segurança e desenvolver estratégias sólidas de resiliência de negócios.
Um comitê dedicado de supervisão da segurança cibernética — composto pelos principais executivos e especialistas — pode fornecer orientação estratégica, supervisionar iniciativas de segurança cibernética e garantir que a organização permaneça proativa no enfrentamento das ameaças em evolução.
Se a organização tem funcionários que trabalham em casa e/ou “híbridos”, ter tecnologia instalada para funcionar rapidamente e obter um controle robusto de segurança cibernética ao mesmo tempo é fundamental. Tais problemas são resolvidos por meio de SASE, SSE e automação.
Em consonância com as orientações às organizações, o especialista da Check Point Software Brasil igualmente relaciona sete dicas para os usuários finais enfrentarem fraudes, golpes e ameaças cibernéticas que os assolam cada vez mais.
Como reconhecer e evitar phishing
Apesar de existir há quase três décadas, o phishing continua sendo uma ameaça persistente. O phishing envolve cibercriminosos se passando por entidades confiáveis para enviar mensagens fraudulentas que contêm downloads ou links maliciosos. Ataques de phishing bem-sucedidos podem levar ao comprometimento de credenciais, infecções por malware, perda de dados e roubo financeiro. É uma forma predominante de engenharia social e o tipo de ataque mais caro em 2022, com média de US$ 4,91 milhões por vítima.
A melhor defesa é conhecer os sinais reveladores de uma mensagem de phishing. “Atualmente é preciso ter ainda mais atenção, pois, com o surgimento da inteligência artificial, não é mais suficiente procurar palavras com erros ortográficos e gramaticais”, alerta Fernando de Falchi.
As mensagens de phishing podem usar táticas de intimidação, como ameaças de suspensão de conta ou ameaças de ação legal, para coagir o usuário a agir. Fique atento a mensagens urgentes, alarmantes ou ameaçadoras.
Se uma mensagem parecer inadequada para o remetente, é provável que seja uma tentativa de phishing. Atenção à qualquer linguagem ou tom incomum é fundamental. As mensagens de phishing geralmente usam saudações ambíguas ou genéricas, como “Prezado usuário” e “Prezada cliente”, em vez de saudações personalizadas.
E-mails de phishing também podem solicitar que o usuário execute ações incomuns. Por exemplo, se um e-mail instruir a pessoa a instalar um software, deve-se verificar com o departamento de TI da organização se isso é um pedido verdadeiro, principalmente se não for uma prática padrão.
É essencial verificar se há discrepâncias com endereços de e-mail, links e nomes de domínio. Passar o mouse sobre hiperlinks ou URLs encurtadas para ver seus destinos reais e ver se há incompatibilidade é uma boa estratégia.
O usuário deve ser cauteloso quando um e-mail solicitar informações confidenciais, como senhas, números de cartão de crédito ou do banco ou números de previdência social. Organizações legítimas geralmente não solicitam esses detalhes por e-mail.
Proteção a partir de senhas
Usar senhas fortes é uma das maneiras mais fáceis de proteger contas e manter informações seguras, pois senhas comprometidas são responsáveis por 81% das violações relacionadas a hackers.
Os atacantes podem quebrar senhas fáceis de adivinhar em menos de um segundo. Em vez disso, deve-se considerar palavras-chave com pelo menos 16 caracteres e exclusivamente complexas. Sequências como ABCD, 1234, qwerty (sequência no teclado) e informações facilmente identificáveis, como nomes e datas de aniversários, como parte de suas senhas não são recomendáveis.
As senhas devem ser como impressões digitais; cada uma é única. A reutilização de senhas aumenta a vulnerabilidade a ataques cibernéticos, como ataques de força bruta e preenchimento de credenciais. A criação de uma senha exclusiva para cada conta limita as consequências em caso de violação.
Os gerenciadores de senhas libertam o usuário do incômodo dos post-its ou do jogo de adivinhação de senhas. A única coisa exigida é de uma senha para entrar no gerenciador. Eles podem criar, armazenar e preencher senhas automaticamente e ajudar a gerar combinações complexas.
De acordo com a Microsoft, habilitar a MFA pode diminuir 99% a probabilidade de você ser hackeado. Por quê? Porque a MFA exige uma combinação de dois ou mais autenticadores para verificar sua identidade antes de se ter acesso à sua conta. Mesmo que um atacante decifre sua senha será preciso atender ao segundo requisito de autenticação para obter acesso à sua conta.
“Embora algumas destas recomendações reflitam as melhores práticas básicas, mesmo os controles mais básicos podem evitar um ataque cibernético, pois, a chave é fazer bem o básico e, em seguida, elevar as suas medidas de segurança cibernética e prevenção de fraudes com técnicas de prevenção mais sofisticadas”, recomenda Falchi.
