Como evitar ataques baleeiros: um guia abrangente
seus funcionários de alto escalão são guardiões de um tesouro de informações confidenciais sobre sua empresa. Escondido no fundo do seu castelo de dados figurativos estão coisas como números de seguridade social dos funcionários, informações de contas bancárias corporativas e números de cartão de crédito do cliente. Coisas que, nas mãos erradas, podem comprometer a integridade da sua marca e/ou custar milhões de dólares à sua empresa. E tudo o que é preciso é que uma pessoa seja pega cochilando.Como os especialistas em qualquer outro setor, os criminosos cibernéticos estão constantemente aprendendo e evoluindo. Um de seus esquemas mais complexos até o momento é o ataque baleeiro, no qual eles tentam se passar por você ou por um de seus executivos, e enganar seus funcionários.Mesmo quando você lê isso, um aspirante a capitão Ahab está planejando seu próximo ataque baleeiro ultra-sofisticado-e você é um alvo tão bom quanto qualquer outro. Aqui está um guia de estilo FAQ, com tudo o que você precisa para ajudá-lo a detectar esse ataque com antecedência, e parar o Arpão morto em suas trilhas.
o que é um ataque baleeiro?
Um caça de ataque, (também conhecida como baleia phishing) é um cuidadosamente trabalhada golpe de phishing em que um impostor se disfarça como um alto executivo dentro de sua empresa, com a intenção de enganar seus funcionários para fiação-los grandes quantias de dinheiro ou de revelar informações confidenciais.
como um ataque baleeiro é diferente de um ataque de phishing?
todos os ataques baleeiros são ataques de phishing, mas nem todos os ataques de phishing são ataques baleeiros.
os ataques de Phishing já existem há um quarto de século. Em meados dos anos noventa, o termo foi usado exclusivamente para descrever hackers que enviaram explosões de E-mail como “iscas” para “phish” para senhas e números de cartão de crédito de usuários da AOL.
hoje em dia, é mais amplamente definido como qualquer golpe na internet em que alguém tenta atrair informações confidenciais por meios enganosos. Tome nota: se você pode cair para a brincadeira do seu tio, você pode cair para um golpe de phishing.Embora esses golpes normalmente lançem uma rede ampla (e tenham taxas de sucesso relativamente baixas), uma variante conhecida como ataques de spear phishing envolve uma abordagem personalizada para atingir um único usuário. A maioria deles usa engenharia social para alimentar emocionalmente a vítima.
os ataques baleeiros se enquadram nessa categoria, mas nesses casos a “lança” é pensativamente projetada com a ideia de transportar em um prêmio muito maior.
como funcionam os ataques baleeiros?
a engenharia social Baleeira é incrivelmente complexa; o criminoso normalmente vai longe para fazer sua personificação de um executivo de C-suite parecer hiper-realista.
mais comumente, eles farão uma pesquisa aprofundada sobre a) seu alvo dentro de sua organização e b) o superior que eles estarão se passando.
o último é complicado, mas usando um domínio de E-mail semelhante e incorporando logotipos de empresas e assinaturas de E-mail, eles podem criar um disfarce Digital digno de Halloween. Outras vezes, eles podem usar um endereço normal do Gmail e alegar estar enviando a mensagem de sua “conta pessoal”.Quanto ao alvo, geralmente não é difícil olhar através do Facebook de um funcionário, encontrar uma foto de um happy hour pós-trabalho e incorporar detalhes que “apenas esse executivo poderia saber”.Mesmo que algumas bandeiras vermelhas façam seu funcionário colocar a guarda, o golpista muitas vezes pode compensar isso, atacando coisas como confiança, urgência ou medo de perder o emprego se não cumprir.
Qual é o pior que poderia acontecer?
Pergunte ao Snapchat, que foi vítima de um ataque baleeiro em 2016. Um representante de RH na organização da gigante de mídia social bifurcou dados de folha de pagamento que revelaram as informações pessoais de vários funcionários, incluindo dados de opções de ações e tudo listado em seus W-2.
apenas um mês depois, um executivo de finanças da Mattel transferiu US $3 milhões para um banco Chinês depois de receber instruções por e-mail do “novo CEO”.Esses golpes podem até ser considerados batatas pequenas em comparação com alguns ataques de maior escala que custaram às empresas dezenas de milhões de dólares. Pior ainda, eles perderam muita confiança do consumidor como resultado de serem tão facilmente comprometidos.
Ok, então Como posso evitar que isso aconteça?
como uma criança saindo para brincar na neve de meados de Janeiro, você precisará de várias camadas de proteção. Siga estas dicas e você se tornará menos vulnerável à enxurrada de ataques baleeiros que acontecem todos os dias.
Eduque seus executivos e funcionários
a maioria das pessoas pensa em golpes de phishing como altamente falhos e fáceis de detectar, então eles podem ser totalmente desavisados com meticulosa engenharia social baleeira. Comece informando sua equipe que esses golpes existem!
em seguida, treine-os
ajudar sua equipe a aprender a detectar os sinais de alerta de um ataque baleeiro pode acabar economizando milhões. Empresas experientes em TI como Marco podem até simular um ataque surpresa para ajudá-lo a determinar o quão suscetíveis seus funcionários são.
sinalizar e-mails fora da sua rede
esta é uma maneira incrivelmente simples e eficaz de expor endereços de E-mail falsificados. A diferença entre “@smithlenses.com ” e ” @ smith1enses.com ” pode ser difícil de detectar em uma determinada fonte, mas mostrando que o e-mail está fora da rede vai levantar um alarme.
configurar protocolos de prevenção da caça às baleias
alguns ótimos exemplos disso incluem a verificação de solicitações de informações confidenciais por meio de outros canais, como uma chamada telefônica. Forçar outra pessoa a assinar esses pedidos também é uma ótima ideia-é mais difícil enganar duas pessoas do que uma.
invista no software DLP
o software de prevenção de perda de dados (DLP) pode bloquear violações dos protocolos que você implementou. Ele também pode sinalizar e-mails com base no nome e na Idade do domínio (novos domínios são mais suspeitos), semelhança do nome de exibição com contatos conhecidos e palavras-chave suspeitas, como “transferência bancária”.
os funcionários tornam os perfis de mídia social privados
Definir perfis de funcionários do LinkedIn e do Facebook para serem visíveis apenas para amigos tornará mais difícil para os golpistas aleatórios obter acesso às suas informações pessoais e usá-las como parte de um ataque baleeiro.
mantenha sua guarda sob
a única maneira de evitar ataques baleeiros é se preparar para eles o mais diligentemente possível. Obter uma pequena ajuda de uma empresa como Marco agora pode economizar milhões de dólares e uma dor de cabeça do tamanho de uma baleia.