O fator humano, como os funcionários tornam a sua empresa vulnerável
- Atualizado em 22 março, 2021
- Por Gatefy
- Blog, Dicas & Conselhos
A cibersegurança é um assunto cada vez mais recorrente dentro das empresas. Neste contexto, muito tem se discutido sobre a responsabilidade e o papel dos funcionários em garantir a segurança de dados e informações. É por isso que, quando falamos sobre cibersegurança, nos deparamos com termos como fator humano, falha humana e insider threat. Não há nenhum exagero em dizer que um funcionário pode colocar toda uma empresa em risco.
Para se ter uma ideia da questão, de acordo com o relatório da Verizon de 2019 que analisou mais de 40 mil incidentes de segurança em todo o mundo, cerca de 35% das violações ocorreram por causa de falha humana. Ou seja, pessoas ou funcionários despreparados. É um percentual alto. Por isso, a gente diz e repete: é preciso que as empresas invistam em conscientização (ou security awareness) e em ferramentas e softwares de proteção avançada.
Outro dado interessante que reforça a preocupação com o fator humano aponta que os principais alvos de ataques dentro das empresas são os tomadores de decisões. Segundo a Verizon, executivos C-level são nove vezes mais propensos a serem alvos de violações. Isto significa, na prática, que os efeitos de um ataque podem podem provocar grandes prejuízos.
A gente até costuma dizer aqui na Gatefy que pensar sobre a educação e a conscientização de funcionários é tão importante quanto pensar sobre ferramentas e softwares de proteção. Imagine que um funcionário executou um anexo malicioso recebido por e-mail em um ataque de phishing. Sem dúvidas, uma ferramenta avançada de segurança de e-mail combinada com treinamentos regulares teria, praticamente, evitado a infecção.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
Como os hackers transformam os funcionários em alvos
Quando falamos sobre o fator humano como causa de um vazamento de dados ou porta de entrada de ameaças, estamos falando sobre diferentes fatores e elementos. Por exemplo, enviar informação confidencial por e-mail para destinatários errados. Ou publicar dados secretos e sigilosos em sites públicos.
Mas, por ora, eu gostaria de me ater a táticas, métodos e golpes utilizados por hackers para explorar o fator humano. Ou seja, para visar e explorar funcionários de empresas. E quando eu digo empresas, estou falando de negócios de todos os tamanhos.
Vamos dar uma olhada na lista que nós preparamos.
1. Engenharia social
A engenharia social é um método que utiliza pesquisa e persuasão. Basicamente, os hackers aproveitam as informações disponíveis na web para conhecer melhor as vítimas e criar golpes personalizados. A engenharia social é a base de golpes de phishing e spear phishing.
2. Spoofing de domínio
O spoofing de domínio é uma tática usado por cibercriminosos para cometer golpes na internet. O spoofing consiste em criar endereços falsos de e-mails e de websites para enganar pessoas. Assim como a engenharia social, o spoofing é muito utilizado em golpes de phishing, spear phishing e também em campanhas de spam.
3. Phishing e Spear Phishing
O phishing e o spear phishing são tipos de golpes. Eles acontecem quando um criminoso se passa por uma pessoa, empresa ou agência do governo com o objetivo de enganar alguém. A grande maioria dos golpes de phishing e spear phishing ocorrem por e-mail, mas outros meios também são utilizados, como telefonemas e mensagens.
4. BEC (Business Email Compromise)
A sigla BEC significa Business Email Compromise. O BEC é um tipo de spear phishing. Ele merece destaque na nossa lista porque é uma das principais ameaças para as empresas.
O BEC ocorre quando um invasor compromete uma conta de e-mail corporativa e depois se passa pelo proprietário do e-mail para enganar outras pessoas. Segundo o FBI, ataques de BEC causaram prejuízos de mais de USD 1 bilhão em 2018. É um dos piores tipos de cibercrimes.
5. Payroll diversion
O payroll diversion é outro tipo de cibercrime que causa grandes prejuízos para empresas e tem como alvo funcionários. Ele acontece quando cibercriminosos usam e-mails de phishing para roubar credenciais de login de funcionários.
Depois as credenciais são usadas para acessar as contas dos funcionários e cometer a fraude. Segundo o FBI, em 2018, as perdas envolvendo payroll diversion chegam a USD 100 milhões.
O funcionário malicioso
Até aqui nós temos falado muito sobre o perfil de um funcionário despreparado ou desatento. São pessoas que interagem, por exemplo, com e-mails maliciosos, clicando em links e fazendo o download de anexos suspeitos. Mas existe outro perfil de funcionário e este é ainda mais perigoso. Vamos chamá-lo de funcionário malicioso.
O funcionário malicioso é quem mais faz juz ao termo insider threat. Esse tipo de funcionário vaza senhas, rouba dados e causa vulnerabilidades no sistema propositalmente, seja para obter retorno financeiro ou para ajudar uma empresa rival.
Tomemos como exemplo o caso da Tesla, que, em 2018, processou um ex-funcionário. Ele foi acusado de hackear a empresa e transferir informações confidenciais e secretas para terceiros.
Conclusão
A melhor forma de reforçar a segurança da sua empresa é investindo em treinamento contínuo com todos os funcionários, especialmente aqueles que não pertencem ao departamento de TI. É importante que todos saibam identificar diferentes tipos de ameaças, como phishing e spam, por exemplo. Isto ajuda muito a evitar vazamentos de dados e infecções.
Outro ponto fundamental é limitar o acesso dos funcionários a todo tipo de informação. Por exemplo, um funcionário do marketing não precisa ter acesso às informações do departamento financeiro, e vice-versa. Esta simples medida pode evitar grandes dores de cabeça.
Investir na criação de um plano de resposta a incidentes é outra dica valiosa. E, é claro, não esqueça de escolher bem os seus softwares e produtos de proteção contra malware, phishing, spam e outros tipos de ameaças. Só assim a sua empresa estará ainda mais segura.
