Sempre há alguma precipitação após um grande quebra de segurança .
A desta semana é uma das mais desenvolvimentos preocupantes do ano em segurança na Internet. Um grupo chamado Impact Team roubou dados de 37 milhões de contas de usuários, desde informações de cartão de crédito até preferências sexuais. E, eles têm agora divulgou os dados . Está ganhando manchetes importantes e só vai piorar.
Para as pequenas empresas, a principal repercussão será uma nova rodada de golpes de phishing que podem afetar seus negócios. Na verdade, meu palpite é que os funcionários que trabalham para você já receberam um e-mail relacionado à violação do Ashley Madison.
É assim que tudo funciona. Uma vez que somos tão dependentes de o email , tendemos a processá-lo rapidamente e procurar as mensagens mais notáveis primeiro. Quando os funcionários vasculham sua lista e veem uma mensagem que diz Conhecemos sua história sexual - clique aqui para evitar torná-la pública, o que você acha que eles farão? A maioria vai clicar. Eles provavelmente já sabem sobre o hack. Eles provavelmente não têm uma conta no site AshleyMadison.com, mas ainda é um grande tópico.
O golpes de phishing geralmente não envolve roubo de dados. Na verdade, eles tendem a desencadear uma cadeia de eventos. O link pode ser apenas uma forma de colher e-mails. Uma segunda mensagem pode ser mais direta e específica. Talvez a primeira mensagem determine pelo menos o nome da sua empresa. O segundo usa o nome da empresa no cabeçalho do e-mail. Ou, o segundo e-mail exige o pagamento. O golpe provavelmente não terá nada a ver com Ashley Madison ou a violação de dados.
O truque é chamado ransomware , e é essencialmente um truque para fazer as pessoas clicarem. O golpe pode ser muito mais complicado, no entanto. O link também pode infectar o computador e criptografar dados. Ainda assim, quase sempre começa com um clique em um link enviado por e-mail ou que um funcionário encontra online.
Falei com especialistas da empresa de segurança KnowBe4 e várias outras firmas sobre esse assunto algumas vezes, e o que continuo ouvindo é que a melhor defesa tem a ver com o treinamento de funcionários. Um leitor me disse recentemente que ele é o responsável pela segurança em uma pequena empresa e pretende executar um experimento de esquema de phishing em que cria uma conta falsa, envia o esquema e rastreia quais funcionários realmente clicam no link. É bastante engenhoso, porque é uma maneira de descobrir se realmente há um problema. Ele pode voltar para esses funcionários e treiná-los novamente (ou repreendê-los).
Meu conselho é fazer uma reunião rápida e improvisada com os funcionários e explicar que há um novo hack importante, que está criando um efeito cascata. Avise os funcionários sobre como clicar em links e abrir e-mails que pareçam suspeitos (ou use as táticas mencionadas acima). Estou aqui para ajudar, então se você precisar de mais algumas ideias sobre como fazer esta reunião ou o que dizer, basta me mande um email .
