No mundo cada vez mais digital de hoje, estamos mais expostos a violações de dados e ameaças à segurança que nunca. Isso significa que existem sérios perigos em fazer negócios pela Internet e, agora, por dispositivos móveis, há ainda mais maneiras de os fraudadores comprometerem os dados de seus clientes. Por esse motivo é extremamente importante entender como essas ameaças atuam e descobrir formas de evitá-las.
Com a popularidade crescente do SMS A2P (aplicativo para pessoa), os usuários móveis correm o risco de receber campanhas direcionadas destinadas a roubar informações sensíveis. Muito parecido com o spam de SMS tradicional, o SMiShing pode conter mensagens de marketing não solicitadas ou conteúdo indesejado enviado a clientes móveis, e é aí que está o risco para o negócio.
Entenda o que é esse novo tipo de ataque digital e saiba como proteger a empresa de SMiShing!
O que é SMiShing?
SMiShing — ou SMS phishing — é o ato de cometer fraude de mensagem de texto para tentar induzir as vítimas a revelar informações da conta ou instalar malwares. Semelhante ao phishing, os cibercriminosos usam SMiShing como tentativa fraudulenta de roubar detalhes do cartão de crédito ou outras informações confidenciais, disfarçando-se como uma organização confiável ou pessoa de boa reputação em uma mensagem de texto.
O SMS, que normalmente contém um link para um site falso que parece idêntico ao site legítimo, pede ao destinatário que insira informações pessoais. As informações falsas costumam ser usadas para fazer com que os textos pareçam ser de uma organização ou negócio legítimo.
O SMiShing cresceu em popularidade entre os cibercriminosos agora que os smartphones são amplamente usados, pois permite que eles roubem informações financeiras e pessoais confidenciais sem ter que quebrar as defesas de segurança de um computador ou rede.
Como ele funciona?
Um ataque de SMiShing usa técnicas de engenharia social para atrair os destinatários das mensagens de texto a revelar informações pessoais ou financeiras. Por exemplo, durante as férias, você recebe uma mensagem de texto fingindo ser de um conhecido varejista dizendo para você verificar suas informações de faturamento ou seu pacote não será enviado a tempo de ser o destinatário do presente.
O único problema é que a mensagem de texto falsa está fornecendo um link de site falso, onde as informações fornecidas serão usadas para cometer roubo de identidade, fraude e outros crimes.
O SMiShing também é usado para distribuir malware e spyware por meio de links ou anexos que podem roubar informações e realizar outras tarefas maliciosas. As mensagens normalmente contêm algum tipo de urgência, ameaça ou aviso para tentar fazer o destinatário agir imediatamente.
Quais os principais impactos desse tipo de ataque para o negócio?
Quando seus funcionários são vítimas de um ataque de phishing, toda a sua rede corporativa e marca estão em risco.
Danos à reputação
Em um nível fundamental, as marcas são construídas com base na confiança. Da mesma forma, a divulgação pública de comunicações internas embaraçosas pode criar danos à reputação que mancham a marca. A publicidade em torno de uma violação grave afeta a percepção da marca geral como não confiável para funcionários, parceiros e clientes.
A marca é a base da capitalização de mercado de praticamente todas as empresas. Os efeitos negativos da marca de um ataque de SMiShing em seus funcionários podem reduzir seu faturamento.
Perda de propriedade intelectual
O roubo de propriedade intelectual pode ser a perda mais devastadora de todas. Segredos comerciais, pesquisas caras, listas de clientes, fórmulas e receitas podem ser comprometidos por SMiShing. Para empresas como tecnologia, defesa ou farmacêutica, um único projeto ou patente de medicamento poderia facilmente representar milhões ou bilhões em custos irrecuperáveis de pesquisa, por exemplo.
Como proteger os dados da sua empresa?
As táticas de ataques virtuais evoluem tão rápido quanto a segurança cibernética e, portanto, estão concentrando sua atenção nas pessoas sobre a tecnologia e capturando-as onde menos esperam. A fim de preparar sua empresa para o que está por vir, é importante seguir algumas recomendações.
Eduque sua equipe
Como você pode esperar que sua equipe seja diligente na conscientização de ataques quando eles não sabem exatamente o que procurar? Você precisará treiná-los na identificação e prevenção do SMiShing.
As mesmas regras que se aplicam a um plano de prevenção de phishing, via e-mail, também servem para os SMS. No entanto, a educação da equipe precisa ser levada um passo adiante.
Por um lado, eles precisam entender que, mesmo que saibam que não devem clicar em um link enviado por SMS, eles também não devem responder por mensagem de texto ou chamada, o que significa evitar uma resposta precipitada para avisar aos criminosos.
Mesmo se a mensagem de texto disser “envie uma mensagem de texto para parar de receber mensagens”, a equipe nunca deve responder, porque isso acaba validando a existência do número e você pode esperar muitos outros ataques SMiShing a seguir. Em vez disso, faça com que eles (ou a própria TI da sua empresa) bloqueiem o número imediatamente.
Defina uma política estrita de BYOD
É mais fácil gerenciar o uso do smartphone da equipe e a prevenção de ataques móveis quando sua empresa fornece dispositivos aos funcionários. No entanto, o risco aumenta quando você permite trazer seu próprio dispositivo (BYOD) por uma questão de conveniência e custo.
Um estudo recente descobriu que 85% das empresas permitem que funcionários, parceiros, contratados e fornecedores acessem os dados da empresa a partir de dispositivos móveis pessoais. Como resultado, mais de 50% dessas empresas relataram um aumento nas ameaças à segurança móvel no mesmo ano.
Obviamente, você precisará repensar (quando aplicável) ou restringir sua política de BYOD para evitar SMiShing e todos os outros esquemas de phishing que podem ser entregues a um dispositivo móvel.
Estabeleça padrões de autenticação multifator
Embora a autenticação multifator não influencie diretamente na proteção contra SMiShing — se um membro da equipe já tiver aberto seu SMS para visualizar uma mensagem maliciosa —, estabelecer essa prática para todos os aplicativos de smartphones da empresa (BYOD ou outro) ajudará a prevenir crimes cibernéticos caso o usuário baixar inadvertidamente malware que permite que criminosos acessem aplicativos e dados em seus telefones.
Portanto, mesmo que o malware tenha sido instalado, a autenticação multifator colocará uma parede de tijolos que impedirá que a atividade criminosa avance para outros aplicativos no dispositivo.
Conte com um parceiro especializado em segurança cibernética
Buscar um parceiro especializado em segurança cibernética pode ser uma forma inteligente de garantir que sua empresa esteja preparada para possíveis ataques a dados corporativos. Esse tipo de suporte pode incluir:
- treinamento de conscientização sobre SMiShing e outros tipos de ataque: o treinamento de segurança pode desempenhar um papel crucial ajudando a reduzir a probabilidade de ataques de engenharia social que resultem em violações de dados. Os funcionários precisam entender as táticas comumente usadas pelos cibercriminosos e ter cuidado ao receber e compartilhar informações;
- testes de segurança regulares: entender se sua empresa está preparada para se defender das ameaças mais recentes é fundamental para uma estratégia de segurança cibernética bem-sucedida.
As violações de segurança podem devastar até mesmo as empresas mais resilientes. É extremamente importante gerenciar os riscos de forma adequada. Além de saber como proteger a empresa de SMiShing, após a ocorrência de um ataque, um plano eficaz de resposta a incidentes de segurança cibernética pode ajudá-lo a garantir a sustentabilidade do seu negócio.
Você já conhecia esse tipo de ataque cibernético? Compartilhe este conteúdo nas suas mídias sociais e informe também os seus parceiros de negócios!