Ryan Wright, o professor de comércio C. Coleman McGehee da UVA, é especialista em segurança cibernética e trabalha com a equipe de segurança de informações da UVA para melhorar a segurança cibernética na Universidade. Crédito:Dan Addison, Comunicações Universitárias
Você provavelmente tem um e-mail de phishing em sua caixa de entrada agora.
Pode ser um golpe óbvio, mas é mais provável que seja uma nota insidiosamente amigável que parece ser de um colega ou amigo, pedindo que você clique neste link ou abra o anexo. Se você fizer, um hacker pode acessar seu nome de usuário e senha, potencialmente roubando grandes quantidades de dados e comprometendo toda a sua organização
"Os golpes de phishing mudaram substancialmente nos últimos três anos, "disse Ryan Wright, o C. Coleman McGehee Professor de Comércio na Escola de Comércio McIntire da Universidade da Virgínia. Hackers, ele disse, deixaram de enviar milhões de e-mails falsos para atingir cruelmente usuários individuais, frequentemente usando informações de contas de mídia social para se passar por colegas, amigos ou familiares.
Wright pesquisa e ensina sobre segurança cibernética e trabalha com o diretor de segurança da informação da UVA, Jason Belford, para melhorar a segurança cibernética na Universidade. Ele também está trabalhando com o vice-presidente de Tecnologia da Informação, Ronald R. Hutchins, para desenvolver um novo treinamento anti-phishing para todos os funcionários do estado.
Aqui estão suas dicas para proteger você e sua organização.
Entenda como os golpes de phishing realmente funcionam
Os golpes de phishing de e-mail são a técnica mais comum que os hackers usam para acessar nomes de usuário e senhas individuais e, assim, se infiltrar em organizações inteiras.
Embora normalmente imaginemos os hackers como gênios da computação que criam seus próprios programas, Wright disse que a maioria simplesmente compra software de phishing da dark web e usa-o para configurar um esquema de phishing de e-mail.
Se os usuários clicarem em um link ou anexo no e-mail de phishing, eles são direcionados para uma página da web falsa, como os sites apoiados pela Rússia descobertos pela Microsoft esta semana. O malware codificado no site rouba suas informações, normalmente seu nome de usuário e senha.
Os hackers podem então se passar por um usuário para acessar informações em uma organização. Apenas um clique, de um usuário, desencadeou grandes hacks em organizações, desde a Target até o governo dos EUA - apesar de seus melhores esforços para proteger suas fronteiras técnicas.
De acordo com Wright, a página média de phishing dura cerca de sete dias, porque as taxas de resposta a qualquer e-mail de phishing - assim como um e-mail normal - caem drasticamente após 24 a 36 horas.
"Os hackers sabem que só precisam de um site por alguns dias, "Wright disse." Eles montaram milhões deles. Identificá-los é um pouco como jogar 'Whac-a-Mole' - você não pode derrubá-los rápido o suficiente. "
Entenda que você é o alvo, não seu computador
"Temos a tendência de pensar na segurança cibernética como um problema técnico, mas é realmente um problema humano, "Wright disse." Noventa a 95 por cento dos ataques a organizações são ataques a pessoas individuais. "
Um estudo recente para Cibersegurança no Trabalho, lançado este mês, descobriram que funcionários individuais são o maior fator de risco para as organizações. Quase dois em cada cinco entrevistados admitiram clicar em um link ou anexo duvidoso - cerca de 40% da força de trabalho.
De acordo com Wright, A média de phishing de hoje tem como alvo cerca de nove pessoas, usando informações do LinkedIn, Facebook e outras contas de mídia social para personalizar cada mensagem e se passar por membros da família, amigos ou colegas.
"Estes são muito, campanhas muito direcionadas, "disse ele." É importante entender que você é o alvo, não apenas o seu computador. "
Pratique a atenção plena à tecnologia
Você provavelmente pensa em atenção plena como algo mais adequado para seu tapete de ioga do que sua caixa de entrada, mas a pesquisa de Wright mostra que o treinamento de atenção plena é 38 por cento mais eficaz na prevenção de hacks do que o treinamento anti-phishing tradicional.
Esse número vem de experimentos de campo que Wright e seus colegas conduziram em uma grande organização, enviar seus próprios e-mails de phishing para um grupo treinado em técnicas de atenção plena, um treinado em técnicas tradicionais baseadas em dicas (ou seja, procurando por linhas de assunto suspeitas, ortografia e outras dicas) e um grupo de controle sem treinamento.
"O treinamento baseado em dicas é certamente melhor do que nada, mas o treinamento de mindfulness melhorou os resultados em cerca de 38 por cento, "Disse Wright." Quando os hackers procuram apenas um clique, esse é um número bastante significativo. "
Embora o treinamento baseado em dicas ensine os usuários a procurar uma lista longa e mutável de características de e-mail, o treinamento de mindfulness se concentra em fazer os usuários "pararem, pense e aja "antes de clicar em algo, confiar em seus instintos se algo parecer errado.
"Mesmo a mais breve pausa alerta seus instintos, levando a uma decisão melhor na maioria das vezes, "Disse Wright." Freqüentemente usamos a tecnologia de forma bastante irracional; se você fizer uma pausa e ficar mais atento por apenas um segundo, então você já ganhou. "
Conte com seus colegas de trabalho
Wright o chama de "firewall humano" - a teia de relacionamentos e interações humanas que pode tornar muito mais difícil para os hackers violarem uma organização. Não consiste apenas em pessoal de tecnologia da informação, mas de colegas de trabalho que contam uns com os outros para detectar atividades suspeitas e se comunicar com o grupo.
"Nossa pesquisa mostrou que as pessoas são muito mais propensas a ir para seus colegas de trabalho com uma pergunta de segurança antes de irem para a TI, "Disse Wright. Os departamentos de TI devem encorajar esse comportamento, em vez de desencorajá-lo, ele disse, e ajudar os principais influenciadores em diferentes departamentos a divulgar informações corretas.
"Se você receber um e-mail estranho e pedir a alguém no cubículo ao lado para perguntar sobre isso, voce ja ganhou, "Wright disse." Esse tipo de consciência espalha práticas de segurança positivas por toda a organização. "
Leia um artigo de notícias sobre segurança cibernética a cada trimestre
Para aumentar sua consciência sobre o risco de segurança, Wright sugere monitorar a imprensa popular em busca de artigos de notícias sobre segurança cibernética e ler pelo menos um a cada trimestre. Mesmo um pouco de leitura o ajudará a ficar ciente e informado sobre os golpes mais recentes que você provavelmente verá em sua caixa de entrada, ele disse. E quanto mais alta sua consciência, menor será o seu risco.
"Quanto mais segurança está em mente, as melhores decisões que as pessoas tomam, "Disse Wright.
Como ponto de partida, ele recomenda Krebs em segurança, um site administrado pelo repórter do Washington Post que se tornou o guru da segurança cibernética Brian Krebs.