Ataques cibernéticos acontecem todos os dias no Brasil, e nos últimos tempos uma nova forma de ameaça vem ganhando cada vez mais espaço: o vishing, uma estratégia de phishing feita por voz utilizando o telefone.
Para se ter uma ideia, em setembro a rede global de hospitalidade MGM Resorts foi vítima de um ataque cibernético que afetou desde máquinas caça-niqueis até o sistema de check-in, com prejuízo estimado em US$ 15 milhões. Os cibercriminosos por trás da campanha maliciosa – supostamente do grupo Scattered Spider – acessaram os sistemas da companhia por meio de um telefonema.
“O vishing, que combina as palavras ‘voice’ e ‘phishing’, é uma forma de ataque em que fraudadores tentam obter informações pessoais ou financeiras sensíveis por meio de ligações telefônicas enganosas. No caso da MGM, os invasores se passaram por colaboradores para obter credenciais de acesso, invadir sistemas internos e roubar dados”, explica Jonathan Arend, consultor de cibersegurança da keeggo.
Tentativas de vishing já afetaram 11% das empresas brasileiras.Fonte: Getty Images/Reprodução
Como se proteger para não cair nos golpes vishing?
A experiência da gigante americana acende alerta para a segurança cibernética de empresas brasileiras. Segundo a Pesquisa Nacional BugHunt de Segurança da Informação, mais de 1/4 das organizações sofreram ataques cibernéticos no último ano, aumento de 8% em relação a 2021. O vishing foi um dos principais ataques relatados, com 11,1% de ocorrência.
Para ajudar empresas a melhorar a postura de segurança digital contra ataques de vishing, o especialista da keeggo recomenda algumas estratégias.
1. Treinamento de funcionários
Treinar os funcionários é a primeira e mais importante barreira contra qualquer ataque cibernético.Fonte: Getty Images/Reprodução
Treine funcionários para reconhecer e relatar tentativas de vishing. Eles devem estar cientes de que nunca devem compartilhar informações confidenciais por telefone, a menos que tenham verificado a identidade da pessoa que está ligando.
2. Verificação de identidade
Sempre verifique a identidade da pessoa que está ligando antes de compartilhar informações confidenciais. Isso pode incluir a confirmação de identidade por meio de senha ou perguntas de segurança previamente definidas.
3. Política de segurança de dados
Evite compartilhar informações importantes da empresa em canais que podem ser interceptados.Fonte: Getty Images/Reprodução
Implemente políticas de segurança de dados que proíbam o compartilhamento de informações confidenciais por telefone sem a devida autenticação e autorização.
4. Autenticação de dois fatores (2FA)
Use a autenticação de dois fatores, sempre que possível, para acesso a sistemas e contas críticas. Isso torna mais difícil para atacantes obterem acesso indevido.
5. Monitoramento e registro de chamadas
Monitore chamadas telefônicas críticas e sensíveis para ter um registro de atividades caso seja necessário investigar ou comprovar a autenticidade de uma chamada.
6. Atualizações de software e antivírus
Mantenha todos os softwares atualizados para evitar brechas de segurança.Fonte: Getty Images/Reprodução
Mantenha softwares atualizados com as últimas correções de segurança e implemente antivírus/antimalwares em todos os sistemas para evitar vulnerabilidades conhecidas.
7. Criptografia de dados
Use criptografia para proteger dados confidenciais enquanto eles estão em trânsito e em repouso, tornando mais difícil para invasores acessá-los.
8. Backup de dados
Faça backups regulares de dados críticos e mantenha-os em locais seguros. Isso pode ajudar a recuperar dados em caso de comprometimento.
9. Avaliações de segurança regulares
Fazer testes de vulnerabilidade é importante para evitar cair em vishing.Fonte: Getty Images/Reprodução
Realize avaliações regulares de segurança, como testes de penetração e simulações de phishing/vishing, para identificar vulnerabilidades e treinar funcionários.
10. Plano de resposta a incidentes
Tenha um plano de resposta a incidentes em vigor para lidar com ataques de vishing e outras ameaças cibernéticas. Isso inclui ações específicas a serem tomadas em caso de suspeita de ataque.
Preocupação constante: a melhor defesa contra crimes cibernéticos
Lembrar de todos esses 10 pontos é fundamental para que as empresas possam se prevenir contra os possíveis ataques de vishing, ajudando a evitar perdas milionárias. Porém, o trabalho não termina por aí!
Por fim, Jonathan Arend reforça que a segurança cibernética deve ser uma preocupação constante e que antecipar-se às ameaças é essencial para manter a segurança.
“Procurar um especialista ou uma consultoria de cibersegurança pode ser uma estratégia inteligente para garantir que a empresa esteja adequadamente protegida contra ataques cibernéticos, incluindo o vishing”, finaliza o especialista em segurança da keeggo.
Gostou do conteúdo? Então, fique de olho aqui no portal para manter-se atualizado sobre esse e tantos outros assuntos sobre tecnologia e segurança. Até a próxima!