Sexta-feira, 18h. Um dos seus clientes recebe um e-mail da sua empresa acusando atividades suspeitas na conta e solicitando que ele realize um procedimento de redefinição de senha
*Ricardo Villadiego
Agindo de acordo com as melhores práticas de segurança, o usuário verifica se o remetente do email tem o nome da sua empresa (com a qual ele mantém comunicação constante). O formato do email parece familiar, e o website está como sempre.
O seu cliente digita a senha antiga para confirmar a identidade e insere a nova. Na segunda-feira de manhã, você é surpreendido pelas manchetes nos jornais: a sua empresa e os seus clientes foram vítimas de um grande esquema de phishing.
Como isso aconteceu?
O phishing é arte de enganar as pessoas: por meio de engenharia social, os criminosos se aproveitam da curiosidade dos usuários, das suas emoções, medos e credulidade, para manipulá-los e conseguir o que precisam. No caso acima, os fraudadores usam o medo das pessoas de serem vítimas de fraude, justamente para vitimá-las.
Enquanto os ataques de phishing tradicionais costumavam distribuir e-mails para um grande número de organizações, o spear phishing, modalidade que está se tornando cada vez mais popular, tem como alvo uma pessoa ou grupo de pessoas específico. Esses ataques direcionados são mais eficientes e sofisticados, uma vez que envolvem maior planejamento e pesquisa sobre as vítimas.
Em 2016, houve um aumento de 250% nos casos de phishing, com 13 mil novos sites criados por dia. Isso indica um número muito maior de ataques exclusivos criados e executados a cada dia. Cada um deles tem como alvo um grupo menor – porém mais lucrativo – de vítimas.
Para garantir que pessoas caiam nesses golpes, os fraudadores empregam quatro truques psicológicos:
Consistência: Os criminosos criam familiaridade com a pessoa da qual querem obter informações. Exemplo disso seria informar a pessoa sobre uma nova política de segurança relativa à senha. Posteriormente, eles consultarão a vítima para saber se ela seguiu as instruções e confirmar a senha escolhida.
Reciprocidade: O criminoso pode ligar ou enviar um email (ou mesmo iniciar um chat em um website falso) para a vítima e oferecer ajuda com um problema comum. Após fornecer a ajuda necessária, o bandido tentará fazer com que o usuário o “ajude” também, fornecendo as informações que ele precisa.
Verificação: Neste cenário, o criminoso pode ligar para a vítima e dizer que trabalha para uma empresa legítima, da qual ela é cliente. Ele tentará fazer uma verificação perguntando se ela já abriu o email de phishing, levando-a a crer que o email é legítimo.
Urgência: O email de phishing pode informar à vítima que ela precisa acessar um link imediatamente para evitar que sua conta ou um determinado serviço seja suspenso.
O phishing é bem-sucedido quando consegue manipular o elemento humano da organização. Muitas vezes, isso inclui o envolvimento dos seus clientes na estratégia. No entanto, os fraudadores podem causar estragos que vão muito além do comprometimento de um indivíduo. Eles podem destruir o que a organização tem de mais precioso: sua marca. Sem um monitoramento proativo dos diversos vetores de ataque, sejam websites, redes sociais, blogs, aplicativos ou até os próprios canais de emails, as empresas acabam colocando a própria reputação em risco.
O phishing causa danos permanentes à marca
Ataques de phishing e violações de dados podem afetar os resultados das empresas, mas esses incidentes podem causar danos muito maiores que os prejuízos iniciais.
Somente em 2016, os criminosos usaram phishing, hacking, malware e outras estratégias para roubar 4,2 bilhões de registros de empresas. 81% das organizações atacadas perderam clientes e sofreram danos à reputação da empresa. O custo médio da repercussão desses incidentes foi de 6,1 milhões de dólares por organização.
Frequentemente esses ataques são identificados tarde demais: o cliente descobre o ataque, não a própria organização. Nesses casos, os consumidores abandonam a empresa e se voltam para os concorrentes com medo de que os seus dados estejam em perigo.
Apesar de muitas campanhas de phishing serem direcionadas para indivíduos, o maior impacto é sentido pelas empresas, principalmente por conta dos danos à reputação. Quando as informações sobre um ataque chegam aos jornais e às redes sociais, a imagem da empresa é imediatamente afetada. Os leitores passam a crer que é inseguro fazer negócio com a marca envolvida, levando à perda de confiança e migração para um concorrente que lhes pareça mais seguro. As empresas podem ser processadas pelos clientes ou ter que pagar multas pelo não cumprimento de normas de proteção de dados dos usuários.
Em minha área de atuação, eu infelizmente tenho observado casos de fraude demais e esquemas cada vez mais diferentes, e esse avanço acelerado do volume de ataques pode levar a enormes prejuízos financeiros e de reputação para as empresas. É doloroso ver proteção de marca e antiphishing ser considerada como um elemento extra, algo que é “legal ter“ ou que só é comprado em meio a uma crise, quando na verdade implementar proteção proativa antifraude para garantir a segurança dos usuários e da sua marca é o seu trabalho.
*Ricardo Villadiego é CEO da Easy Solutions
SOBRE A EASY SOLUTIONS
A Easy Solutions®, uma empresa Cyxtera, é um fornecedor de segurança dedicado à ampla detecção e prevenção de fraudes eletrônicas em todos os dispositivos, canais e serviços na nuvem. Os nossos produtos variam desde proteção contra ameaças digitais e navegação segura a autenticação multifatorial e detecção de transações anômalas, oferecendo em um só lugar proteção ponta-a-ponta contra a fraude. As atividades virtuais de mais de 100 milhões de clientes em mais de 385 líderes em serviços financeiros, empresas de segurança, varejistas, linhas aéreas e outras entidades nos Estados Unidos e em todo o mundo são protegidos pela plataforma Total Fraud Protection® da Easy Solutions.