Neste artigo
O que move a proteção de dados e sistemas informáticos? O foco nas máquinas e em seus comportamentos automatizados? A sensação de que "tecnologia é a solução"? Ou o desejo de cuidar de pessoas e suas vidas? Como crianças brincando nos parques, que exigem cuidado, amor e proteção, os dados, sistemas e serviços também são sensíveis, e esse desejo deve estar presente no trabalho que os protege. No entanto, a gestão exige que as pessoas estejam protegidas contra o roubo de identidade – tanto a identidade como o patrimônio vivo. Na vida real, as câmeras não substituem o olhar dos pais.
É bem reconhecido que a tecnologia, embora possa ser utilizada como uma ferramenta de ataque, é uma ajuda e proteção imprescindíveis para a maioria das empresas. Sistemas de segurança bem configurados são como muros: montados pela ação humana, eles não abrem ou fecham porta, mas detectam quando alguém entra ou sai e, se perceberem movimentos estranhos, podem acionar alarmes, controlar câmeras e muito mais. Isso ocorre porque a tecnologia possui a capacidade de vigiar a informação 24 horas por dia, 7 dias por semana e 365 dias por ano, sem descansar, alimentar-se ou distrair-se com a faixa correndo na TV, por exemplo. Mas e se alguém esquecer a porta aberta?
Por que a Tecnologia não Basta se o Fator Humano Estiver Exposto?
Todo o investimento em tecnologia, processos e segurança é em vão se a equipe não estiver devidamente protegida e conscientizada, pois uma única falha humana pode abrir portas que a tecnologia não consegue fechar. Uma falha humana é como uma porta entreaberta: se você não protege a equipe, ela pode ser facilmente explorada por golpistas.
As falhas humanas geralmente ocorrem por distração, confiança excessiva ou pressa. Durante um ataque de phishing, essa distração pode levar a um clique ingênuo no link, que pode ser um arquivo com um malware que controla o computador da vítima e permite o acesso à rede da empresa. Essa confiança excessiva pode levar um funcionário a aceitar uma solicitação de conexão do LinkedIn de uma pessoa que está se passando por um especialista da empresa numa ação de engenharia social. A pressa pode fazer com que um profissional financeiramente responsável aprove um pedido de transferência sem verificar a veracidade do pedido com sua fonte habitual. A tecnologia pode ajudar a reduzir o impacto das falhas de comportamento da equipe, mas é necessário redirecionar a segurança para a proteção do comportamento da equipe.
5 Práticas Imediatas para Proteger sua Empresa de Golpes de Phishing
1. Implemente a Autenticação Multifator (MFA) em Tudo
A autenticação multifator é uma das defesas mais eficazes contra acessos não autorizados e deve ser utilizada em todos os sistemas críticos. O fator de autenticação se dá pelo que o usuário sabe (senha), o que ele tem (token ou aplicativo gerador de códigos) ou o que ele é (impressão digital, reconhecimento facial etc.). Toda aplicação ou serviço que possibilite a habilitação da MFA deve ser configurada para exigir, sempre que possível, todos os fatores disponíveis. A verificação adicional do cliente em operações mais sensíveis deve ser fortemente recomendada e sempre utilizada quando houver qualquer sinal de alerta.
A introdução da verificação em duas etapas (2FA) é uma questão técnica simples que traz impacto relevante na segurança da organização, mas que depende da conscientização dos colaboradores para ser amplamente utilizada. Incentivar, ou até exigir, o uso de 2FA em contas pessoais ajuda a preservar a segurança não apenas da empresa, mas também de cada um, suas famílias e seus círculos de amizades. Portanto, a taxa de adesão deve ser monitorada de forma a gerar pressão para o uso generalizado. Além disso, o não cumprimento de alguma solicitação de 2FA deve ser sempre investigado e já é um sinal de alerta.
2. Crie uma Política de Senhas Rígida e Gerenciadores de Credenciais
Senhas simplesmente fracas não foram os únicos fatores que permitiram o acesso à rede da Colonial Pipeline, mas sua posterior utilização em 90% da cadeia de ataque expôs uma vulnerabilidade inadmissível. Uma política de senhas rígida e o uso de gerenciadores de credenciais podem evitar o uso de senhas fracas, e de senhas nos navegadores expostas em arquivos de log, e, assim, mitigar a utilização de credenciais em ataques de phishing e outras síndromes. Se a verificação para a conclusão de uma transação financeira for frequentemente ignorada, a causa provavelmente reside na ausência do uso de pessoas em seus processos. A verificação é uma proteção contra o negócio interrompido ou o rombo no cofre, e reforçá-la com um protocolo de verificação dupla que documente a exigência de confirmação e ampare a cobrança é uma prática rápida, simples e que prazos curtos podem atender. Em situações de emergência, a isenção de protocolo, exposta no aviso-prévio, é um trunfo; a velocidade tem seu papel, mas é um mero facilitador para a fraude.
As simulações de phishing, por sua vez, visam a educação e a conscientização, e precisam ser vistas pela organização como um ciclo contínuo, sem um final. Eventos criativos, que surpreendam os destinatários com alguma situação inusitada, são mais bem-sucedidos do que meras cópias de campanhas anteriores. A informação deve ter um papel ativo, e a taxa de cliques a ser reduzida deve ser a última do ciclo, não a primeira. O maior número de acertos em campanhas de simulação não deve ser fonte de recompensa, mas de disque-denúncia ou de canção de ninar. Nas campanhas de conceito “pintou a charada, partiu ver o que é”, é mais relevante ter uma resposta rápida do que uma resposta certa. O importante é enviar uma resposta, e distribuir os papéis ajuda a gerar uma dinâmica que reforça o conceito.
3. Realize Treinamentos e Simulações de Phishing Periódicas
Ciclos regulares, cenários criativos e feedback imediato: são escolhas que potencializam o impacto de treinamentos e simulações de phishing, tornando-os uma ferramenta poderosa. Treinamentos periódicos devem ter frequência trimestral ou semestral e simulações, pelo menos, uma por semestre. Para aumentar a eficácia, é recomendável usar abordagens divertidas e conectar os temas às situações e desafios enfrentados pelos colaboradores em suas funções. Simulações criativas alcançam resultados mais significativos, pois exploram não só a métrica de clique, mas também a consciência em relação ao golpe.
Importante é fornecer feedback imediato a todos os participantes e reforçar as lições aprendidas. Além disso, é eficaz recompensar o bom comportamento — ou seja, a não clique — com um prêmio e um reconhecimento visível à equipe em geral. Se a taxa de cliques nas simulações não apresenta tendência de queda, é sinal de que a abordagem adotada deve ser revista. O tempo de resposta aos treinamentos e simulações é outro aspecto crítico. Se o retorno ao usuário for tardio, a memória sobre o treinamento já terá se esvaído e, por consequência, a simulação ou treino perderam muito do efeito desejado. Por outro lado, sempre que a taxa de cliques cair em relação à simulação anterior, fecha-se um ciclo de aprendizado e é possível avançar para uma nova etapa de complexidade maior.
4. Estabeleça Protocolos de Verificação Dupla para Transações Financeiras
Basta um deslize, uma mensagem mal interpretada, um clique apressado, uma conta comprometida ou um transferência não verificada para que um ataque de phishing se transforme em uma tragédia. Uma simples bateção de panela pode fazer com que algo seja tratado com urgência, mas não podemos perder de vista a gravidade dos problemas ou deixar de seguir os protocolos. Mesmo que uma senha possa parecer correta e o pedido venha de um contato conhecido, devemos sempre confirmar.
É por isso que estabelecer protocolos de verificação "duplo-dedo" para transações comerciais, especialmente quando envolvem pedidos de pagamento, é fundamental. Tais protocolos devem ser definidos ao longo de toda a cadeia — em caso de transferências no Brasil, duas contas devem estar cadastradas, ambas com destino a pessoas jurídicas verificadas. Se um pedido de pagamento vier de um e-mail aparentemente correto, ele deve ser verificado com a pessoa responsável por e-mail, mensagem instantânea, ligação, vídeo ou qualquer outro canal seguro. No caso de um pedido de transferência de um cliente, a conta do cliente deve ser confirmada, e uma palavra-chave deve ser solicitada como verificação. Todas essas verificações devem ser descritas e documentadas.
5. Use Canais de Comunicação Verificados e Autenticação de E-mail
Criadores de conteúdo estão sempre em busca de novas formas de engajar o público, atrair a atenção e comunicar suas mensagens. Esse dilema é tão antigo quanto a comunicação humana e afeta todas as áreas da sociedade. Pode um texto se tornar mais interessante se a história for contada ao contrário, ou se o início for também o final? Assim como um bom thriller, um filme de terror ou uma piada, que já pode ter sido contada em outras versões, mas que é contada de um jeito novo e inusitado.
Na área de cibersegurança, essa mesma busca por interesse e envolvimento é realizada muitas vezes, com resultados variados. Um conceito muito utilizado e que tem trazido resultados efetivos é o treinamento de phishing, o qual ensina e treina os usuários a reconhecer mensagens fraudulentas e se protegerem. Como qualquer outro treinamento, o de phishing também pode tornar-se monótono: as mensagens de simulação, geralmente, podem ser muito parecidas entre si, e a ideia de clicar em um link ou abrir um arquivo malicioso não é a experiência mais divertida do mundo. E, com isso, as taxas de cliques podem voltar a subir e o treinamento tornar-se apenas uma espécie de “taxa de proteção” que toda empresa paga — assim como a cobertura de um seguro, que, em muitos casos, não é vista como um investimento, mas como um custo.
O treinamento de phishing pode ser implementado de forma mais criativa, com a inclusão de histórias e narrativas mais envolventes. Uma forma muito interessante e que tem trazido bons resultados na área de TI é a inclusão de conteúdo focado em gamificação. A gamificação, que nada mais é do que a adaptação de conteúdo com o formato de um jogo, estimula a competição entre os usuários. Para que o treinamento tenha um bom impacto, é importante que o conteúdo seja variado, que os “troféus” e recompensas sejam diferentes, e que existam ciclos mais curtos e mais longos.
Como a Automação de Segurança e o SOC MDR Compensam o Fator Humano
Se as falhas humanas são como portas entreabertas, a automação da segurança pode ser vista como um sistema de monitoramento que evita que intrusos as explorem. Na verdade, esse recurso torna-se ainda mais importante quando as pessoas estão distraídas, confiantes ou apressadas. Ao detectar padrões de comportamento em vez de ataques novos e raros, a automação diminui o ruído das alarmes, potencializando a capacidade de resposta da equipe. E esse ganho é especialmente crítico para as organizações que ainda não têm um SOC, pois muitas delas não conseguem formar turmas de resposta que operem em escala, 24 por 7.
No entanto, a automação não elimina o fator humano. Mesmo em equipes de segurança experientes, os alertas gerados em alta frequência são frequentemente ignorados, resultando em incidentes que acabam sendo atribuídos ao erro humano. Nesse sentido, as soluções SOC-as-a-Service, que oferecem um time externo de resposta, podem adicionar uma camada de triagem e apuração dos alarmes, além de cuidar da resposta quando necessário. Por último, a perícia do provedor ajuda a coletar as lições aprendidas e a melhorar continuamente a automação. A segurança não é apenas um software, mas sim um sistema que envolve pessoas, processos e tecnologia.
Conclusão
Nos relatos sobre segurança, a principal preocupação é proteger os dados, não as pessoas. Contudo, como na cena de um crime, é a combinação da infração com a fragilidade das vítimas que torna o roubo possível. Portanto, a arte de proteger não é apenas preservar informações e sistemas, mas também cuidar das pessoas que acessam e os utilizam. Grande parte dos erros de segurança se deve a enganos humanos e, por isso, cinco medidas criativas, chamadas aqui de um jogo de “blindagem”, são apresentadas para proteger as organizações contra golpistas maliciosos, exploradores do próprio despreparo humano. O objetivo é blindar as equipes, no sentido de gerenciar o comportamento da equipe, tornando-a menos vulnerável aos ataques.
Implementar essas estratégias é mais fácil do que parece, e um alerta: elas não provêm de especialistas de segurança. Foram desenvolvidas por um profissional que presta serviços a empresas e que, portanto, está muito próximo do “chão”. A proteção deve ser uma busca incessante. É preciso testar cada uma das medidas e adequá-las, reforçando-as sempre que possível e respeitando, acima de tudo, o bom senso. As informações são apenas ideias para a prática; do mesmo modo que um goleiro de futebol treina chutes de todos os tipos, as empresas também devem treinar seu pessoal de diferentes formas.
A sua equipe está preparada para identificar as novas táticas de phishing com IA ou a sua empresa está operando com um calcanhar de Aquiles invisível? Na Forge Code, ajudamos a estruturar políticas de governança, realizar auditorias de segurança e implementar soluções de SOC para garantir que o seu negócio esteja sempre blindado. Vamos fechar as brechas de segurança da sua operação?
Escrito por
Lucas Sena
Eng. de Software
