As plataformas de mídia social são alvos constantes de campanhas de phishing. Prova disso é o número de ataques contra esses serviços, que aumentou acentuadamente, de 8,5% de todos os ataques no quarto trimestre de 2021 para 12,5% no primeiro trimestre deste ano.
Os crimes virtuais são praticados por agentes maliciosos com o objetivo de sequestrar as contas e posteriormente pedir resgate ou até mesmo obter acesso as contas bancárias das vítimas.
Essa tentativa pode ser feita por telefonema, e-mail, e, também, agora pelas redes sociais.
O destaque da vez são ataques focados em usuários do Twitter que possuem contas verificadas com o selo azul, que indica se tratar de um perfil oficial de uma instituição ou até mesmo uma celebridade.
Como ocorre um ataque de phishing pela rede social?
O golpe de phishing, como o do Twitter, por exemplo, envia aos usuários uma mensagem direta (DM) informando que a conta será suspensa por disseminar discurso de ódio na plataforma e solicita que o usuário autentique a conta para evitar a suspensão. Ao clicar em um link, a vítima é redirecionada para uma falsa página da Central de ajuda do Twitter, onde deve informar login e senha.
Legenda: exemplo de ataque de phishing pelo twitter. Foto: Portal Canaltech
A simples menção de que a conta será bloqueada em 48 horas, prática comum nesses golpes com uso de pressão psicológica, faz com que o usuário clique no link. Um suposto número de protocolo referente ao atendimento tenta passar credibilidade, mas é tudo falso.
Ao revelar suas credenciais de login, o acesso à conta é perdido. O golpe só é concluído se o usuário informar seus dados, caso contrário o golpista nada pode fazer para obter a senha do perfil e o controle da conta.
Esses ataques também acontecem em plataformas de conversas e chamadas de áudio e vídeo, como o Discord. Os cibercriminosos utilizam o próprio mensageiro e oferecem falsas assinaturas gratuitas, como um mês grátis de um plano premium, por exemplo, para obter acesso às contas das vítimas
Por isso, especialistas aconselham a nunca clicar em links suspeitos recebidos por mensagens de voz, DM ou Direct, no caso do Instagram. Em caso de violação das regras da rede social, o usuário receberá um e-mail contendo detalhes sobre o fato.
Phishing: um risco para a segurança cibernética das empresas
As empresas correm riscos em ataques bem-sucedidos de mídia social contra seus funcionários, podendo abrir a porta para a infiltração na rede corporativa por meio de dispositivos infectados ou de credenciais indevidas.
Com a disseminação do trabalho remoto ou híbrido, as empresas precisam, mais do que nunca, de uma estratégia de proteção contra phishing e malware multicanal abrangendo aplicativos de redes sociais, de jogos e de mensagens.
De acordo com uma pesquisa, realizada com cerca de 30 mil colaboradores em cem países, um em cada cinco dos funcionários responderam que caem em golpes de phishing.
Dentre as simulações realizadas no estudo, foram identificadas as temáticas que tiveram mais eficácia em enganar os colaboradores. A maioria delas está relacionada a novidades na empresa ou erros básicos, como falha na tentativa de entrega de uma encomenda ou e-mails não entregues devido a servidores sobrecarregados, ambos os assuntos com 18% em taxa de conversão.
Como as empresas devem se proteger?
É importante que as empresas sigam algumas recomendações. Dentre elas:
Conscientizar seus colaboradores
Os colaboradores precisam estar cientes de seu papel na segurança da organização e, para isso, também é preciso que as empresas preparem os seus funcionários para saber identificar os sinais básicos de um e-mail fraudulento, como erros de digitação, ortografia e gramática incorretas, saudações genéricas, endereços de remetente inconsistentes e uma temática dramática.
O trabalho de conscientização dos colaboradores deve abordar golpes de engenharia social para demonstrar como as interações pessoais, como as realizadas por mídia social, podem impactar na vida profissional de cada um.
As organizações também devem implantar serviços de proteção contra phishing móvel em toda a sua base de usuários, incluindo dispositivos corporativos e pessoais.
Manter seu sistema sempre atualizado
As atualizações automáticas do sistema podem ajudar a evitar os ataques cibernéticos, inclusive os de phishing. Elas também corrigem vulnerabilidades e bloqueiam a instalação de programas maliciosos.
O uso de um software de segurança, como a Autenticação Multifator (Multi Factor Authentication – MFA) também pode ajudar a bloquear tentativas maliciosas ao adicionar mais camadas de proteção ao processo de login em sistemas, sites e aplicativos.
Denunciar ataques suspeitos
Outro ponto importante é reportar os ataques de phishing sempre que detectar um, evitando sempre abrir a mensagem. Isso permite que os dados dos ataques sejam analisados e utilizados para novas diretrizes de proteção contra o conteúdo nocivo.
A proteção cibernética deve ser constante
A proteção contra os ataques cibernéticos deve ser contínua e se estender ao dia a dia de todos os usuários. Para isso, estar atento aos principais sinais de ameaças é fundamental.
Ao receber uma mensagem, é importante certificar-se de:
- Verificar links antes de clicar;
- Obter uma conexão de site segura antes de digitar senhas;
- Instituições financeiras nunca utilizam mensagens virtuais com senhas;
- Ter cuidado ao receber arquivos.
Manter-se atualizado sobre as melhores práticas de cibersegurança
As ameaças virtuais estão em constante evolução, por isso é necessário estar sempre atualizado sobre todas as novas tecnologias utilizados pelos cibercriminosos. Além disso, também é preciso conhecer as melhores práticas de segurança para proteger a sua organização.
O Manual de Cibersegurança é uma boa dica de leitura para quem quer entender melhor os tipos de golpes cibernéticos e saber quais medidas tomar para uma postura eficiente de segurança.
Saiba mais sobre como proteger a sua empresa contra os ataques virtuais. Entre em contato com os especialistas da ISH e tire todas as suas dúvidas.