Qual é a sua coisa mais memorável sobre a configuração do seu e-mail? Se for apenas sobre uma senha forte, este artigo o ajudará a desmascarar esse e alguns outros mitos comuns. A segurança do seu e-mail é essencial, mas muitas soluções e dicas baseiam-se no preconceito e não na expertise. Vou revisar e revisar as políticas de segurança de e-mail, soluções e alguns sinais de alerta também.
Vamos abordar os mitos mais comuns sobre proteção de e-mail, um por um.
Mito 1: é tudo sobre a força da senha
Eles dizem que não há oportunidade de hackear sua conta se você não conseguir adivinhar a senha. É verdade?
Em primeiro lugar, não existe uma varinha mágica que o ajude a criar uma senha que resista a qualquer ataque. Os hackers roubam e quebram senhas criadas por humanos e por máquina, não importa o quão complexas sejam.
A experiência baseada em evidências sugere que a alteração de senhas ou frases secretas de e-mail em intervalos regulares é a melhor solução prática. A frequência ideal para atualizações de senha é de três meses. Isso oferece uma boa chance de bloquear sua conta de cibercriminosos caso ela seja atacada; ao mesmo tempo, a frequência de atualização é bastante baixa.
Apesar de estar longe de ser perfeita, essa rotina, surpreendentemente, protege seu e-mail na maioria dos casos.
Além disso, não existe proteção de e-mail corporativo apenas com senha. Os sistemas de e-mail comercial exigem medidas de segurança extras. A equipe de TI de cada empresa apresenta conjuntos individuais de táticas e ferramentas. Isso inclui requisitos de login seguro, conformidade com gerenciamento de dados mestre, autenticação multifator, filtros de e-mail, procedimentos seguros de BYOD e assim por diante.
Resumindo, a senha em si é apenas a ponta do iceberg, já que a segurança adequada de e-mail recorre a uma série de fatores e táticas.
Mito 2: é extremamente difícil replicar um site corporativo criado profissionalmente
Você pode se perguntar se isso tem alguma relação com a segurança do seu e-mail. Phishing é a pista certa aqui. Você pode ter seu e-mail protegido com soluções de autenticação avançada, definir uma senha extra forte, filtrar anexos de arquivo e spam em potencial, mas isso não funciona contra o que é chamado de phishing de site. O mito diz que os hackers não podem falsificar um site de alto perfil. Você acha que isso é verdade?
Claro, isso não é verdade. Os sites do governo e de grandes empresas, seja NASA ou Facebook, não são à prova de falsificação. Eles são tão vulneráveis e expostos a adulterações externas quanto qualquer outro recurso da Internet. Os hackers podem até usar os comandos dorking do Google para roubar suas informações.
Os invasores que praticam phishing em sites geralmente possuem ferramentas e habilidades avançadas. Eles quase não têm nada em comum com os aspirantes a hackers que usam um kit de phishing para manequins comprados na Black Friday. Engenharia social, psicologia, desenvolvimento de sites e programação são campos em que os phishers modernos têm experiência e conhecimento sólidos.
Esses profissionais criminosos sabem como detectar e explorar vulnerabilidades de sites. Assim que descobrirem que seu site é bom para eles, desenvolver seu clone e publicá-lo na web é questão de horas.
Tenho monitorado casos de phishing de sites por tempo suficiente para admitir que muitos dos clones são realmente perfeitos. As vítimas não veem razão para suspeitar de um golpe. Leia este artigo de CSO em sites gêmeos para ver a variedade e astúcia dos ataques de phishing. Isso prova que qualquer página, incluindo um site institucional ou de alto nível, pode ser exposta a spoofing.
Cuidado com esses casos e estabeleça táticas para garantir que um site no qual você faz login seja genuíno. Aplique a vigilância, a previsão, verifique os certificados do site, inspecione cuidadosamente o URL do site e certifique-se de que corresponde ao site genuíno. Sob nenhuma circunstância baixe e instale qualquer conteúdo ou insira suas credenciais de login simplesmente porque esta página familiar o pede.
Na verdade, é melhor marcar em seu navegador todos os sites importantes e abri-los usando apenas os marcadores verificados.
Mito 3: a maioria dos riscos pode ser evitada treinando os funcionários para lidar com o e-mail com segurança
A maioria de nós já passou por uma rotina de integração de funcionários. Isso geralmente leva um novo membro da equipe para ler algumas regras, procedimentos, familiarizar-se com outros membros da equipe e liderança, assistir a tutoriais, etc.
Muitas empresas aplicam esforços significativos para tornar sua equipe mais experiente em segurança. O próximo mito é o seguinte: investir na conscientização digital da equipe reduz significativamente os riscos do e-mail. Isso é apenas um mito ou realidade?
Tenho certeza de que não é um mito. Se os membros da sua equipe forem treinados em segurança de e-mail estudando casos da vida real, suas habilidades e hábitos mudarão. Um funcionário bem treinado pode diferenciar um e-mail genuíno daquele inventado por criminosos, detectar tentativas de falsificar um e-mail ou site corporativo, identificar anexos de arquivos maliciosos e notificar as unidades competentes sobre quaisquer irregularidades.
O treinamento não deve ser um festival de roncos. Incentive os treinadores a usar muitos tutoriais em vídeo e áudio, mensagens de e-mail de phishing reais e sites falsos. Envolva o público o máximo possível. O entretenimento não pode substituir o aprendizado inteiramente, mas o facilita e o aprimora dramaticamente. E, é claro, lance ataques de phishing falsos (preparados por sua equipe de TI) contra sua organização.
Mito 4: os navegadores da web informam sobre todos os sites inseguros
Se você verificar o certificado SSL assim que seu navegador carregar um site, significa que você está totalmente ciente das propriedades de segurança da página visitada. Quanto ao mito, é o seguinte: meu navegador sempre sinaliza qualquer página insegura ou de phishing. Mito ou realidade?
É apenas um mito. Existem dois avisos que os navegadores geralmente mostram para um visitante do site. Se o seu navegador acreditar que o site é seguro, você verá um cadeado. Um ponto de exclamação aparecerá se houver certos comentários de segurança.
Na natureza, mesmo um local marcado com um cadeado não é necessariamente seguro. Os cibercriminosos usam autoridades de certificação duvidosas ou enviam informações falsas para obter um certificado de site válido. No entanto, os usuários comuns geralmente não se aprofundam. Se virem um cadeado na página, pensam que está tudo bem.
Por outro lado, às vezes sites sinalizados como inseguros podem ser seguros. Alguns erros no código do site podem fazer a diferença. Problemas técnicos também podem acontecer. Portanto, embora os navegadores façam o possível para proteger os usuários, ainda não devemos confiar cegamente no ícone do cadeado.
De qualquer forma, se, ao examinar o certificado SSL, você perceber que alguns campos estão vazios ou contêm dados irrelevantes, a melhor resposta seria sair do site e relatar um comportamento malicioso ou suspeito.
Mito 5: a lista negra de sites maliciosos ativos fornece imunidade a novos ataques
Suponha que você saiba que alguns sites, como, por exemplo, o Search Baron descrito aqui, irão redirecioná-lo para ofertas falsas ou um site de phishing. O que você vai fazer a seguir? Você vai adicionar o site à sua lista negra? Algumas pessoas acreditam que, se bloquearem vários sites maliciosos, estarão protegidas de novos ataques. Verdadeiro ou falso?
Esta é uma crença falsa. Mesmo que você coloque na lista negra uma dúzia de sites maliciosos, os hackers ainda têm um número incontável de novos URLs para definir uma armadilha de phishing. Você sabia que o registro e a criação de um novo site leva apenas algumas horas? Você pode bloquear um domínio; eles registram outra divisão rápida. É um jogo de gato e rato.
O mesmo acontece com os fornecedores de antivírus. Eles detectam e colocam em quarentena novos vírus e malware constantemente, mas malfeitores criam novos e novamente.
É uma boa ideia colocar um URL de phishing na lista negra. Enquanto isso, é apenas uma solução intermediária. Seu trabalho é aprender como identificar esses sites por seu comportamento e características.
Pensamentos finais
A segurança do email diz respeito às partes envolvidas. O elo mais fraco é um fator humano. Os cinco mitos que analisei mostram a importância máxima do treinamento de conscientização sobre segurança.
Se você considerar confiar em soluções de software para segurança de e-mail, isso deve abranger todos os vetores de ataque, incluindo comprometimento de e-mail do fornecedor, worms, vírus de macro, etc. Ao mesmo tempo, deve ajudar a minimizar os riscos causados pelo fator humano.
0 Comments