Sites falsos: riscos que podem comprometer a organização

imagem com fundo vermelho, do lado direito há um hacker de capuz e com olhos vermelho, em cima dele podemos ver uma janela com um sinal de atenção, também em vermelho. Do lado direito está escrito na cor branca está o título do artigo.

Autoridades nacionais emitiram um alerta para participantes do Enem. Hackers maliciosos estão criando sites falsos para enganá-los. O objetivo é o roubo de dados.

Essa é uma notícia preocupante e evidencia ainda mais o cuidado que devemos ter ao acessar sites e inserir nossas informações.

Em uma organização repleta de funcionários lidando com a internet diariamente, esse é um tipo de preocupação que se deve ter.

Com o intuito de alertar as corporações, este artigo vai explicar como esses sites funcionam, suas consequências e como as empresas desempenham um papel importante na conscientização de colaboradores.

Boa leitura!

O que são sites falsos?

Podem ser imitações de sites reais, ou até mesmo novos sites. Os cibercriminosos possuem uma finalidade: fazer com que vítimas insiram suas informações e/ou façam downloads de links maliciosos e, claro, lucrar através de seus crimes.

Quais são os principais tipos de sites falsos?

Esses indivíduos ou organizações utilizam diferentes tipos de sites para convencê-las que estão seguras, por exemplo:

Sites de phishing

O phishing é um crime que consiste na imitação de uma entidade ou pessoa de confiança para passar credibilidade à vítima. Por pensar que está em um site oficial, ela insere seus dados. Logo, os atacantes maliciosos conseguem facilmente roubá-los ou induzir a vítima a fazer o download de um malware, invadindo seu dispositivo com sucesso. 

Sites de lojas

O e-commerce é um método atrativo de compras, porque as pessoas têm, na palma da mão, acesso a esses tipos de sites.

Infelizmente, esses sites também podem ser explorados por criminosos, que criam promoções chamativas com valores irreais para atrair vítimas que realizam compras. Ao inserirem dados pessoais e financeiros, como os do cartão de crédito, os criminosos podem roubá-los e, em um cenário ainda pior, acessar contas bancárias das vítimas para realizar transações.

Sites de  brindes falsos

Outro golpe frequente é o de sites que oferecem "itens gratuitos" às vítimas.

É comum que empresas façam diversas campanhas, como oferecer amostras de seus produtos, para atrair mais clientes.

Os criminosos têm se aproveitado disso para "promover produtos gratuitos". Então, seguindo a mesma linha dos casos mencionados, a vítima insere seus dados que, consequentemente, são roubados.

Caso desconfie de algum site, o Procon de São Paulo possui uma lista de sites falsos que pode ajudar na identificação. O Google também possui um mecanismo onde você pode inserir a URL de um site, caso suspeite que se trata de um phishing.

Sentimentos como frustração, raiva e tristeza podem surgir quando alguém é vítima de algum golpe. E, infelizmente, esses crimes acontecem com frequência.

Também é importante mencionar que o maior alvo de hackers maliciosos são as organizações.

Afinal, estamos falando de um alvo que possui muitos dados armazenados e muito dinheiro. Veja no tópico a seguir como as empresas podem ajudar seus colaboradores a não caírem em golpes como esses.

Qual o papel das organizações na conscientização de colaboradores?

O cenário que temos hoje, embora preocupante devido à complexidade dos ataques, é positivo, porque as empresas estão buscando formas mais avançadas de se proteger, através de equipes de segurança experientes e ferramentas robustas.

Ainda sim, existe um elemento fundamental que precisa fazer parte da segurança da organização: os colaboradores.

Eles podem ser a porta de entrada de muitos ataques. Por mais que uma empresa invista nas melhores soluções, ou possua técnicos com alta expertise em segurança, a conscientização dos funcionários é fundamental para fortalecer a barreira de segurança.

Em 2015, uma empresa de Network do Vale do Silício sofreu um ataque conhecido com Fraude do CEO, no qual hackers encaminham e-mails phishing para os funcionários, se passando pelo CEO da empresa, fazendo com que eles cliquem em links maliciosos.

Infelizmente, um dos funcionários acabou caindo no golpe, resultando em um roubo de milhares de dólares. A empresa enfrentou custos legais, financeiros e de reputação.

Esse triste cenário mostra a importância em apresentar para os colaboradores dados reais e reforçar treinamentos, afinal, todas as partes interessadas podem sair seriamente prejudicadas.

Essa conscientização pode acontecer de diversas formas, como:

Ensinar a identificação de sites falsos e links duvidosos

Apresente aos seus colaboradores formas de identificar sites ou links maliciosos.

Na maioria dos casos, eles apresentam erros de design ou ortografia. Além disso, podem carecer de informações importantes, como abas de "Quem somos" ou "Fale conosco".

Se o colaborador ficar com alguma dúvida, informe-o para comunicar-se com a equipe de segurança de TI e ter mais esclarecimentos.

Treinamentos constantes

Os criminosos não hesitam em dedicar seus esforços à criação de golpes novos e sites cada vez mais aperfeiçoados. Então, faça treinamentos periódicos, e sempre que surgir algo novo, compartilhem com os colaboradores.

O uso de cartilhas e informativos podem ser essenciais para o entendimento sobre ataques, identificação de links e sites maliciosos, entre outros.

Aplique testes com o blue e red team 

As equipes de segurança são fundamentais para entender de forma prática se os colaboradores estão preparados para essas situações.

O Red team vai pensar como os criminosos, entender quais técnicas eles estão utilizando, aplicá-las no ambiente e ver como ele se comportará.

O Blue team vai trabalhar na defesa. Para isso, ele precisa compreender como está o ambiente, se as ferramentas já usadas e as estratégias estão sendo funcionais, se os funcionários estão atentos aos golpes.

Ainda sim, mesmo aplicando esses pontos na empresa, não há certeza de que um cenário ruim pode acontecer, como o ataque bem sucedido de um hacker através do acesso a sites falso de colaboradores.

Se acontecer, o que fazer?

Embora seja difícil, instrua-os a manter a calma e comunicar imediatamente o ocorrido às equipes de segurança, para que eles iniciem os primeiros passos para conter a situação. 

Conclusão

O entendimento sobre as consequências de ataques cibernéticos ajudará seus colaboradores a compreenderem a importância de atentar-se aos detalhes ao fazer downloads ou acessar sites suspeitos.

A junção da conscientização, uma equipe robusta e munida de ferramentas tecnológicas avançadas é primordial para segurança da organização.

Ferramentas com recursos com filtro para sites da web podem fazer a diferença nas estratégias de cibersegurança, e o Endpoint Central da ManageEngine conta com essa funcionalidade!

Através desse recurso, os técnicos conseguem aplicar políticas de acesso a sites, tornando o ambiente ainda mais controlado e seguro.

Com o Endpoint Central, é possível unificar a gestão de desktops e dispositivos móveis através de um único console, com uma interface amigável! Aplique políticas de segurança, faça o deploy de sistemas operacionais em massa e crie listas de permissão com a nossa soluções.

Clique aqui para explorar esses e outros recursos da ferramenta!