7 mitos de segurança de e-mail para empresas
A segurança de e-mail é um assunto sério e muitas vezes um problema para empresas de todos os setores. De acordo com um artigo da CSO, por exemplo, ataques de phishing representam mais de 80% dos incidentes de segurança.
Além disso, de acordo com uma pesquisa da Microsoft, 54% dos líderes de TI e segurança entrevistados relataram um aumento nos ataques de e-mail de phishing desde o início da pandemia da COVID-19.
Ou seja, a segurança de e-mail deve ser vista como uma prioridade dentro das empresas. Então, para contribuir com conhecimentos e educação nesta área, nós criamos uma lista com os principais mitos de proteção de e-mail.
A seguir, tente identificar se você já conhece o mito ou não. Aproveite também a oportunidade para adotar algumas práticas ou conhecimentos fornecidos neste artigo. Vamos aos mitos.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
Os mitos mais comuns da proteção de e-mail
1. E-mail é seguro
O nosso primeiro mito afirma que o e-mail é uma plataforma segura e que as empresas podem usá-lo sem se preocupar com segurança e proteção.
Mas esta afirmação é uma mentira.
O e-mail é inseguro porque possui inúmeros pontos de vulnerabilidades. Os hackers exploram os e-mails de diferentes maneiras. É possível, por exemplo, falsificar o endereço do remetente para enganar alguém, assim também como é possível anexar um ransomware e enviar para uma empresa.
Inclusive, a grande maioria dos ataques na internet acontece por meio de e-mails maliciosos, como phishing, spam, engenharia social, spoofing e BEC (Business Email Compromise).
O relatório do FBI não nos deixa mentir.
2. E-mails indesejados e perigosos representam poucas mensagens
Como dissemos no tópico anterior, o e-mail é o principal canal utilizado por cibercriminosos na internet. Mas isto não se deve apenas ao fato de que o e-mail possui inúmeras vulnerabilidades.
Nós não podemos esquecer, antes de tudo, que o e-mail é um dos principais canais de comunicação de pessoas e empresas. Ou seja, é um ambiente propício para a propagação de golpes devido ao grande número de usuários.
Para se ter uma ideia, de todo o volume de e-mails enviados diariamente, é estimado que apenas de 15% a 20% sejam legítimos e seguros. Na prática, de mais de 160 bilhões de e-mails enviados diariamente, quase 140 bilhões se tratam de mensagens não solicitadas ou perigosas.
3. Spam não é perigoso para empresas
Dizer que o spam não é perigoso é um mito. Muito pelo contrário. Sim, o spam é perigoso e afeta as empresas de, pelo menos, duas maneiras.
Primeira, o spam costuma ser usado pelos cibercriminosos como vetor de ameaças. Por exemplo, um colaborador do seu time pode receber um e-mail de spam que contém um link malicioso com o objetivo de roubar credenciais de acesso.
Segunda, o spam afeta diretamente a produtividade do seu time e da sua empresa. Ao receber muitas mensagens indesejadas, os funcionários vão ter que gastar energia e tempo com esses e-mails. Além disso, o spam pode afetar os servidores da empresa, prejudicando outros serviços.
4. A solução da segurança de e-mail é usar senhas fortes
Usar senhas fortes é uma obrigação dentro do ambiente corporativo (e também fora dele) e um princípio básico da segurança da informação.
Quando dizemos senhas fortes, estamos falando de grandes combinações de letras, números e símbolos. Entretanto, usar senhas fortes não é a única solução para segurança de e-mail.
Existem várias técnicas que os hackers utilizam para roubar senhas e credenciais. Um relatório da Verizon mostra, inclusive, que 80% dos casos de vazamentos de dados de hacking envolveram força bruta ou uso de credenciais perdidas ou roubadas.
A segurança do e-mail deve envolver diversas frentes de trabalho, incluindo o uso de senhas fortes. Adotar o protocolo de autenticação DMARC, por exemplo, é outra frente de atuação, bloqueando cibercriminosos que queiram usar o seu domínio para aplicar golpes em funcionários, clientes e parceiros.
5. A proteção de e-mail é responsabilidade do provedor do serviço
Um dos maiores mitos da segurança de e-mail é acreditar que o provedor do serviço de e-mail vai fornecer a proteção de dados e informações que a empresa precisa.
Sim, no geral, os provedores de serviços de e-mail, como Microsoft Office 365 e G Suite, por exemplo, se esforçam para adotar mecanismos de segurança. Mas isto não quer dizer que eles são suficientes e a empresa está segura.
Acontece que justamente a fama, a popularidade e o número de usuários estão entre os principais fatores que chamam a atenção dos hackers. Do ponto de vista dos cibercriminosos, driblar as técnicas de segurança da Microsoft e do Google, por exemplo, compensam em termos de escala.
Ou seja, se for possível driblar o sistema uma vez, será possível atacar vários usuários ou empresas ao mesmo tempo.
Além disso, os provedores de serviços de e-mail não são empresas especializadas em cibersegurança, como é o caso da Gatefy, que investe todo o seu esforço nesta área.
6. Bastam funcionários treinados para bloquear ameaças de e-mail
Não é possível garantir e muito menos recomendado que os funcionários da empresa tenham a responsabilidade e a capacidade de lidar com todas as variantes de e-mails maliciosos.
Mas, por outro lado, a educação do time é fundamental para diminuir as chances de vazamentos de dados e fraudes. O treinamento (ou a conscientização em segurança) é outro ponto básico de uma política de segurança consistente, assim como o uso de senhas fortes.
No passado, os ataques de e-mail se restringiam a fraudes facilmente identificáveis. Mas, com o avanço das tecnologias e a criação de novos métodos de falsificação, este cenário mudou, o que tem dificultado a identificação de fraudes de e-mail a olho nu.
Por isso, é importante a combinação da educação e de soluções de segurança, como um Secure Email Gateway.
7. Os ataques de phishing são altamente previsíveis
Engana-se quem pensa que os ataques de phishing são simples e previsíveis. Este é outro mito. Diversos relatórios têm apontado para a evolução do phishing e a alta capacidade que os hackers têm de adaptação.
Como a Microsoft pontuou em um dos seus relatórios, os ataques de phishing vêm se tornando cada vez mais polimórficos. Ou seja, os cibercriminosos têm utilizado diferentes métodos e tecnologias para persuadir e conquistar a confiança de suas vítimas, de URL maliciosas e falsificação de remetente.
Além disso, os ataques têm sido mais direcionados, como nos casos de spear phishing, por exemplo. Segundo informações do relatório da Europol, 65% dos grupos de cibercriminosos fazem uso de spear phishing como seu vetor de infecção primária.
Considerações finais
Neste artigo, nós apresentamos 7 mitos que envolvem a segurança de e-mail. A análise que foi apresentada mostra a importância de se pensar e planejar a proteção de e-mail em camadas, que envolvem fatores técnicos e humanos.
Diante disso, se você está considerando adotar para a sua empresa uma solução de segurança de e-mail eficiente e baseada em inteligência artificial avançada, avalie a solução de Secure Email Gateway da Gatefy.
Também não deixe de seguir os nossos canais de comunicação para se aprofundar nos temas proteção de e-mail e cibersegurança. A Gatefy tem trabalhado muito nesse sentido, em prol da conscientização em segurança.