Os ataques phishing se tornaram um grande problema para organizações de todos os tamanhos, assim como para os usuários de modo geral. Fique atento a cada e-mail que chega. Não caia em phishing! Mensagens de e-mail não fazem parte do processo de redefinição de senha!
De acordo com um estudo recente da Expert Insights, “quase 20% de todos os funcionários tendem a clicar em links de e-mail de phishing e, desses, 67,5% passam a inserir suas credenciais em um site de phishing”. Esse tipo de roubo de credenciais pode ter consequências de longo alcance, desde vazamento de dados até ataques de ransomware operados por humanos.
A filtragem de e-mail não é suficiente para se livrar do Phishing
Infelizmente, não existe uma solução única que efetivamente interrompa todos os ataques de phishing. Assim, as organizações devem filtrar emails de entrada e remover mensagens de phishing antes que elas cheguem à caixa de entrada de um usuário é um primeiro passo crítico, mas isso por si só não é suficiente.
Algumas mensagens de phishing inevitavelmente passarão pelo melhor filtro. Assim, as organizações precisam treinar os seus usuários para não caírem em phishing.
Traga consistência ao processo de redefinição de senha e livre-se do Phishing
Por mais importante que seja o treinamento do usuário final e a filtragem de mensagens, há uma terceira coisa que as organizações podem fazer para ajudar a mudar as probabilidades a seu favor.
Como os ataques de phishing de coleta de credenciais geralmente vêm disfarçados como mensagens de redefinição de senha, é importante lidar com as redefinições de senha de uma maneira que torne óbvio para os usuários que as mensagens de email não fazem parte do processo de redefinição de senha.
Por exemplo, uma organização pode usar Specops uReset para gerenciar solicitações de redefinição de senha. Specops uReset nunca pede a senha do Windows antes que o usuário seja autenticado com outro método primeiro; se os usuários souberem que isso é verdade, eles podem suspeitar de qualquer e-mail estilo phishing que tente fazê-los digitar sua senha do AD para redefini-la, lembra o BleepingComputer.
Tirar o e-mail da equação torna menos provável que um usuário clique em uma mensagem falsa de redefinição de senha.
Em última análise, você não pode depender da filtragem para remover todas as mensagens de e-mail de phishing. É por isso que é tão importante educar seus usuários sobre como identificar uma mensagem de phishing e avaliar potencialmente a capacidade de um usuário de identificar essas mensagens por meio de campanhas de phishing simuladas subsequentes.
A padronização do processo de redefinição de senha deve ser feita de uma forma que ajude os usuários a reconhecer imediatamente as mensagens de redefinição de senha como falsas e, assim, impedir que cliquem nessas mensagens.
Via: BleepingComputer
