O Phishing ainda é um dos vetores de ataque mais comum e bem sucedido utilizado pelos criminosos. Isso ocorre porque ele se concentra em explorar o elo mais fraco da segurança, as pessoas. Ataques que exploram a natureza emocional das pessoas possuem grande chance de sucesso.

Os ataques de phishing mais bem sucedidos são aqueles que criam uma conexão emotiva com a pessoa que vai clicar, fazendo-a dispensar o raciocínio, clicando sem avaliar se essa era de fato a melhor atitude. Quando os usuários recebem um pouco mais de tempo para avaliar e realizar uma ação consciente, diminui consideravelmente a probabilidade de realizarem o clique no link malicioso. Por isso, as mensagens costumam ser urgentes, propagando consequências danosas caso o usuário não clique.

Nesse caso, a melhor forma de defesa contra esse tipo de ataque é aumentar o conhecimento do usuário. De acordo com pesquisa do Instituto Ponemon, um alto número de funcionários, inclusive de níveis hierárquicos superiores, nem sabem o que é um phishing. Dado o fato de que o phishing é um dos principais vetores de ataque, esse é um ponto alarmante.

O problema é, e se arrasta por um bom tempo, que uma mínima parcela do orçamento está destinada para treinamento específico, educacional e de segurança. Se o colaborador possui acesso à e-mail, incluindo o pessoal, eles precisam receber um treinamento que demonstra como identificar e-mails suspeitos e reportá-los adequadamente. Se todos estão conscientes dos riscos, em todos os níveis da empresa, as chances de alguém ser enganado por um golpe desse tipo diminui.

A segunda linha de defesa deve ser composta pelas soluções de segurança. Existem diversas soluções desenhadas para auxiliar na prevenção de casos de phishing, elas devem ser o backup de segurança caso seus funcionários conscientes e bem treinados acabem caindo em um golpe.

Nesse ponto, o monitoramento é essencial, contudo, como qualquer outra atividade de monitoramento, é preciso ajustar os alertas de acordo com as especificidades do negócio. Por isso, uma equipe de segurança especializada e bem treinada é essencial para obter sucesso nessa etapa.

Por fim, precisamos falar sobre spear phishing. Essa é uma forma mais avançada e ainda mais efetiva de phishing e que causa pesadelos para CSO’s no mundo inteiro. O spear phishing é uma campanha de phishing altamente direcionada. Aqui, o criminoso estuda a empresa e até mesmo os profissionais envolvidos, com o intuito de desenvolver um e-mail de phishing altamente personalizado, levando o usuário a cometer o erro e clicar no link malicioso.

Treinos específicos precisam acontecer para o pessoal que lida com informação sensível. É muito comum que os profissionais sênior deem como desculpa o fato de estarem muito ocupados para se ausentarem dos treinamentos, contudo, eles são responsáveis por informações altamente sensíveis, tornando-se alvos preferenciais para campanhas de spear phishing. Por isso, é importante rever as políticas de segurança da empresa, os treinamentos para pessoal sênior devem ser mandatórios e imprescindíveis.