por admin

19 fev 2020

E-mail security: como proteger o principal meio de comunicação corporativo

E-mail Security, ou segurança nos e-mails corporativos, é um conjunto de técnicas e de ferramentas que têm como objetivo manter informações sensíveis contra perda, acessos não autorizados ou vazamentos de dados.

Em outras palavras, são formas utilizadas por companhias e instituições para que um dos principais meios corporativos de comunicação não se torne um pesadelo para quem cuida e responde pela segurança dos dados.

Com a avalanche de ferramentas de comunicação corporativa e até mesmo pessoais, o e-mail pode ter perdido o posto como o único meio digital e institucional válido nos últimos anos. No entanto, continua sendo amplamente utilizado por corporações ao redor do mundo.

Em tempos de LGPD, diversas técnicas atendem esta demanda de segurança, procurando prevenir riscos e mitigar acidentes. O relatório de 2019 da consultoria Forrester mostra que 27% dos ataques externos vêm de brechas de credenciais roubadas através de ciberataques direcionados a e-mails.

Os ataques podem ser desde ransomwares, malwares ou uma mistura deles. No entanto, o Business Email Compromise (BEC) é um dos mais utilizados, que vem trazendo grandes prejuízos para as corporações:

Business Email Compromise ou Golpe do CEO

O Golpe do CEO, como ficou conhecido no Brasil, é uma prática avançada de ciberataque que utiliza Engenharia Social e phishing. O Internet Complaint Center do FBI, ou IC3, mostrou em um relatório que, entre 2013 e 2018, mais de 12,5 bilhões de dólares foram roubados através deste ataque.

O objetivo é fazer com que pessoas, geralmente das áreas de finanças de uma corporação, façam transferências bancárias, pagamentos de contas e de boletos falsos para os atacantes. Os pedidos são feitos com urgência, limitando o tempo de reação da pessoa que recebeu o ataque. Cibercriminosos mais avançados replicam até mesmo sites de instituições financeiras, para que pareçam legítimos.

Isso é conseguido através da confiança: o atacante replica um e-mail de alguém com autoridade hierárquica para autorizar operações financeiras – daí o nome Golpe do CEO –, e solicita a alguém o pagamento de uma conta ou a transferência de algum valor substancial. Em alguns casos, o atacante até mesmo rouba a conta de alguém para conseguir o golpe.

Entenda como os atacantes conseguem aplicar o golpe, segundo a Interpol. (Crédito: Interpol)

Melhores práticas de E-mail Security

A maioria das dicas abaixo já são dadas desde que o e-mail era um ambiente extremamente inóspito, com muito mais possibilidades de invasões do que se tem hoje.

Porém, mesmo com os fatores de proteção em voga, elas continuam extremamente válidas, ainda mais se considerarmos os novos riscos:

  1. Senha forte, melhor proteção

Senhas seguras continuam sendo uma das mais importantes práticas de e-mail security para empregados de uma corporação. Mas não só usar letras, números e símbolos é o mais importante: não a reutilizar entre os diversos sistemas e softwares da corporação é imprescindível.

Reutilizar a mesma senha em vários lugares é dar a certeza de que, se a sua credencial for roubada

, vários sistemas estarão automaticamente afetados, não apenas seu e-mail. Os atacantes sabem que conseguirão sucesso se utilizarem sua senha em mais de um lugar.

Ao mesmo tempo, a prática de mudanças de senhas periodicamente precisa ser balanceada. Uma frequência de mudanças muito grande pode fazer com que as pessoas tendam a usar senhas mais fracas, por serem mais fáceis de recordar.

  1. Use mais de um fator de autenticação

O uso de uma solução de Multifactor Authentication (MFA) em uma empresa não é de responsabilidade de seus funcionários, mas dos responsáveis pela segurança. No entanto, caso haja disponível, não hesite: utilize.

Caso seu e-mail seja infiltrado, o uso de um MFA vai dificultar a vida do atacante, já que você precisa confirmar o login por outro meio, como o seu celular ou outro dispositivo móvel cadastrado.

  1. Treinamento anti-phishing

Treinar os empregados de uma companhia ou instituição sobre os riscos do Phishing é mandatório. Através de um treinamento do tipo, funcionários podem identificar por si mesmos quais os e-mails perigosos e mensagens problemáticas, evitando clicar ou abrir arquivos duvidosos.

  1. Cuidado com os arquivos de um e-mail

Muitos e-mails são enviados diretamente para indivíduos escolhidos. Alguns são bloqueados por anti-malwares, mas outros podem passar desapercebidos quando mandados por fontes confiáveis e verdadeiras.

Com o acesso de apenas uma credencial, é possível escalar para outros usuários da organização, contaminando outros com base na confiança.

Ao se deparar com conteúdos estranhos ou pedidos de transferências fora do comum, certifique-se com a pessoa que enviou. Lembre-se da máxima em segurança cibernética: se parece perigoso, provavelmente é.

Gostou do post e quer saber tudo sobre a nova Lei Geral de Proteção de Dados (LGPD)? Baixe o nosso Whitepaper com as informações que você precisa para começar a planejar a conformidade com lei!

 

Categorias