Em 2022, mais de 90% das empresas perceberam ameaças à segurança digital. E mais: cerca de 88% dos profissionais de TI relataram um aumento nos ataques de phishing, segundo um estudo global da CyberSource.
A prática do phishing, aliás, aumentou 230% no Brasil só no primeiro semestre de 2022. Pensando nisso, trazemos uma reflexão sobre este tema.
Aqui você vai ver:
- o que é phishing;
- que consequências seu negócio pode ter ao sofrer este tipo de ataque;
- como reforçar a cibersegurança para prevenir este problema;
- e muito mais.
Acompanhe!
O que é phishing?
Phishing é um método de ataque usado por cibercriminosos relativamente “simples”. Ele gira em torno do uso de certos esquemas para atrair pessoas e obter informações confidenciais das vítimas.
Normalmente, os criminosos por trás do phishing não estão tentando roubar dinheiro. Eles estão tentando roubar algo potencialmente muito mais valioso: informações.
Visando indivíduos e empresas vulneráveis, eles aplicam abordagens diversas para “pescar” vitimas e dados. Fazem isso por meio de sites falsos e campanhas de e-mail que enganam as pessoas para que informem seus detalhes confidenciais, como:
- senhas de acesso aos sistemas;
- informaçãom com detalhes da companhia, incluindo segredos diretamente ligados à competitividade do negócio;
- informações pessoais, de acionistas, funcionários, clientes, fornecedores e parceiros de negócios;
- entre outras.
Ao longo dos anos, os ataques de phishing tornaram-se um ponto de preocupação especialmente crítico para muitos porque continuam a aumentar em quantidade e sofisticação.
Portanto, com o grande número de empresas sendo atacadas e afetadas por golpes de phishing, o tema precisa ser abordado de maneira estratégica.
Quais são as consequências de um ataque de phishing?
Danos à reputação
Após o anúncio de uma violação de dados, a reputação de uma empresa é afetada imediatamente.
Manchetes como “Violação de dados da British Airways: hackers russos vendem 245.000 detalhes de cartão de crédito” e “Record TV altera a programaçāo às pressas após sofrer ataque hacker” se tornam notícias populares.
Não importa o quão formidável seja o departamento de Relações Públicas de uma companhia. Não há o que se fazer para controlar o interesse coletivo neste tipo de notícia — e a imprensa não vai ser tímida ao publicá-las.
Perda de clientes
Danos à reputação são apenas o começo da reação.
A notícia de uma violação de dados tende a deixar os clientes nervosos.
Veja isso:
- 44% dos consumidores declaram que deixariam de gastar com uma empresa por vários meses imediatamente após uma violação de dados;
- e 41% deles dizem que nunca retornariam a ser clientes, segundo uma pesquisa recente.
Portanto, trata-se de um tema bastante sensível para a segurança digital e principalmente para as finanças corporativas.
Perda de valor da empresa
As violações não afetam apenas a confiança do consumidor. Elas também interferem negativamente na confiança dos investidores.
Análises recentes de empresas listadas na Bolsa de Valores de Nova York descobriram que os preços das ações caíram 7,27% em média após uma violação de dados.
Após o comprometimento dos dados do usuário do Facebook em 2018, a avaliação do Facebook caiu 36 bilhões de dólares. Já a violação de dados da British Airways em 2018 levou a uma queda de mais de 4%.
Em suma, se sua empresa já é de capital aberto, ou planeja abrir IPO no futuro, é fundamental evitar ataques à segurança digital.
Multas regulatórias
As penalidades financeiras pelo uso indevido ou manuseio incorreto de dados já estão em pleno vigor em todo o mundo. Na União Europeia com o Regulamento Geral sobre a Proteção de Dados (GDPR); no Brasil, com a Lei Geral de Proteção de Dados (LGPD), por exemplo.
E não importa se as infrações a essas leis foram feitas por erros internos ou por um cibercriminoso. As multas são pesadas e imperdoáveis: cabe à organização garantir a proteção das informações de funcionários, acionistas, clientes, parceiros etc.
→ Leia também: LGPD: quais os riscos de segurança no processo de adequação à lei?
Interrupção dos negócios
Por menores que sejam, as violações inevitavelmente levam à interrupção dos negócios.
Os ataques de phishing podem paralisar um negócio, por vários motivos:
- a equipe pode ser incapaz de continuar seu trabalho por falta de acesso a sistemas;
- dados e ativos fundamentais para a operação podem ser roubados ou danificados;
- os clientes podem não conseguir acessar os serviços online;
- e assim por diante.
A maioria das empresas consegue restaurar as operações em 24 horas. Mas em casos com resultado material — incluindo perda de dinheiro ou dados —, grande parte delas podem demorar mais de dois dias para se recuperar.
Como melhorar a segurança digital e proteger sua empresa de ataques de phishing?
Para se proteger dessa e de outras ameaças à segurança digital, as empresas devem reforçar suas políticas de proteção de dados.
No que diz respeito aos ataques de phising, três atitudes são essenciais:
Conscientização e Inteligência
O primeiro passo para evitar o phishing é por meio do aumento da inteligência coletiva da empresa. Isso só pode ser feito através de conscientização, educando os funcionários, mas também proporcionando a eles ferramentas de proteção.
Segurança de e-mail
Além da educação e inteligência cibernética na empresa, a melhoria na segurança de e-mail também é importante. Se seus e-mails estão sendo constantemente usados com ataques de phishing, deve haver algo errado com a segurança.
Se você tiver sua própria equipe de segurança de TI, verifique com eles o que pode ser feito. Busque no mercado soluções específicas para este problema, ou consulte empresas especializadas no tema.
Reforço nas camadas de segurança
Tente manter constantemente suas camadas de segurança atualizadas e otimizadas, como usando bons firewalls, utilizando ferramentas de varredura de emails, etc., sem se esquecer de manter tudo atualizado.
Um exemplo de processo que pode ajudar: tenha uma data/horário pré-definidos em que todas as senhas e camadas de segurança sejam atualizadas, como a cada 60 dias ou conforme alguma ação ‘gatilho’ na rede.
Em suma, a empresa deve estar sempre preparada para ataquesde phishing, principalmente no sentido de prevenção mas também preparada para remediação, sempre com foco em sua cybersecurity.
Em resumo
Do ponto de vista das organizações, phishing é uma ameaça importante, onde o ataque cibernético é feito para obter informações de funcionários, clientes, ou da operação do negócio como um todo. Muitas vezes, é disfarçado como um e-mail ou mensagem de uma fonte aparentemente legítima, e que tem o potencial de causar grandes prejuizos à empresa.
Como é um ataque bastante comum, é importante que as pessoas se informem sobre o que é phishing, seus perigos e como evitá-lo.
→ Proteja sua empresa de phishing e outros problemas de segurança digital. Conheça agora nossa plataforma de segurança de e-mail de autoaprendizagem e orientada por, que detecta e corrige continuamente ameaças avançadas: o Ironscales!