Phishing fica mais furtivo: 4 maneiras de defender sua marca

Publicados: 2023-02-06

Apenas alguns anos atrás, era fácil detectar phishing. Se um e-mail ou texto parecia vir de uma marca real, mas continha erros de ortografia, gramática incorreta ou logotipos borrados, você pode apostar que alguém estava tentando induzi-lo a clicar em um link como parte de uma campanha para roubar seus dados, dinheiro , ou identidade.

Hoje, porém, detectar comunicações ilegítimas não é tão fácil. A maioria dos cibercriminosos é muito melhor em disfarçar suas identidades graças a ferramentas de hacking poderosas e de baixo custo ou kits de phishing como serviço na dark web. Essas ferramentas, muitas das quais usam inteligência artificial, podem fazer com que as comunicações até mesmo do golpista mais analfabeto pareçam profissionais.

Além disso, com os rápidos avanços no ChatGPT da Open AI, um programa de chatbot de IA gratuito criado com recursos de processamento de linguagem natural (NLP), os hackers agora têm uma maneira mais rápida, melhor e mais barata de criar comunicações que imitam a personalidade ou o tom de uma marca.

Com todas essas inovações, não é de admirar que os hackers tenham conseguido lançar 255 milhões de ataques de phishing em 2022, um aumento de 61% em relação ao ano anterior.

Os observadores dizem que, se essa tendência persistir – o que é provável – pode levar os consumidores a ignorar a maioria das comunicações de marketing legítimas.

Por que a segurança de dados é fundamental para o futuro do CX

data_security_cx.jpg Nenhuma tecnologia pode superar o fato de que a experiência do cliente é um esforço humano. Saiba por que a segurança de dados é fundamental para o futuro do CX.

Acabou com o phishing: as 10 marcas mais falsificadas

Todas as marcas correm o risco de serem falsificadas, mas os fraudadores geralmente visam grandes empresas de tecnologia, transportadoras e redes de mídia social.

Aqui estão as 10 marcas mais imitadas no quarto trimestre de 2022, classificadas por sua aparência geral em tentativas de phishing de marca, de acordo com a Check Point Software:

  1. Yahoo (20%)
  2. DHL (16%)
  3. Microsoft (11%)
  4. Google (5,8%)
  5. Linkedin (5,7%)
  6. WeTransfer (5,3%)
  7. Netflix (4,4%)
  8. Fedex (2,5%)
  9. HSBC (2,3%)
  10. WhatsApp (2,2%)

4 maneiras de proteger sua marca

O phishing é um grande risco para as marcas, seu marketing e sua reputação.

“Toda essa atividade de phishing pode minar o valor da marca porque, quando esses e-mails são divulgados e os consumidores não sabem se são válidos ou não, às vezes associamos erroneamente nossas experiências negativas com a identidade da empresa”, diz Frank Dickson, um analista do setor de segurança cibernética da IDC.

“Mas a verdade é que mesmo grandes empresas como a Microsoft ou o Google não podem fazer muito para impedir o phishing de maneira significativa”.

Portanto, se o phishing é tão difícil de vencer, o que você pode fazer para minimizar seu efeito sobre a boa marca? Aqui estão algumas sugestões de especialistas do setor:
  1. Adote protocolos de segurança de e-mail
  2. Domine seus domínios
  3. Defenda seus canais de mídia social
  4. Eduque seus clientes

Com violações de dados em todos os lugares, o gerenciamento de dados do cliente torna-se crucial

Imagem de uma colagem de diferentes fontes de identificação do cliente: ID, cartão de crédito, smartphone, rastreamento de localização. Práticas recomendadas de gerenciamento de dados do cliente As melhores práticas de gerenciamento de dados do cliente permitem que as empresas fortaleçam seu compromisso com relacionamentos positivos. O potencial de crescimento, no comércio e na confiança, é enorme.

Anule a ameaça com segurança de e-mail

Embora o phishing seja difícil de derrotar, as organizações podem pelo menos retardar seu avanço implementando protocolos de segurança importantes no nível do servidor de e-mail.

Existem três que as empresas tendem a usar em conjunto:

  • Domain-based Message Authentication , Reporting and Conformance (DMARC) é um sistema de validação de e-mail projetado para proteger o domínio de e-mail da sua empresa de ser usado para spoofing, golpes de phishing e outros crimes cibernéticos. O DMARC usa técnicas de autenticação de e-mail, como Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM).
  • Sender Policy Framework (SPF) é uma técnica de autenticação de e-mail para impedir que spammers enviem mensagens em nome do seu domínio. Isso lhe dá a capacidade de especificar quais servidores de e-mail têm permissão para enviar e-mail em nome de seu domínio.
  • DomainKeys Identified Mail (DKIM) é uma técnica de autenticação de e-mail baseada em assinatura envolvendo uma assinatura digital que permite ao destinatário verificar se um e-mail foi enviado e autorizado pelo proprietário desse domínio.

Antes desses padrões, os hackers podiam basicamente enviar e-mails com os mesmos domínios das próprias marcas, diz Roger Grimes, um evangelista de defesa da KnowBe4, uma plataforma de treinamento de conscientização de segurança. Ao usar esses protocolos para autenticar e-mails antes que eles possam ser entregues, muitas grandes empresas pararam com isso.

“Os padrões tiveram tanto sucesso que os phishers quase abandonaram o uso de domínios de marcas reais e legítimos”, diz Grimes.

Estes não são os arquivos de dados que você está procurando: Cibersegurança nesta galáxia

data_files.jpg Os rebeldes hackearam a Estrela da Morte. Sua organização é a próxima? Proteger os dados do cliente é uma missão crítica. Leia sobre as medidas de segurança cibernética que você deve tomar agora.

Domine seus domínios para derrotar as forças das trevas

Com os protocolos de segurança de e-mail fazendo um ótimo trabalho de cortar uma linha de ataques, os hackers passaram a criar seus próprios domínios. Você provavelmente já os viu. Eles geralmente se parecem muito com a coisa real, mas se desviam ligeiramente, colocando um número, letra ou símbolo em lugares não óbvios.

A maioria dos hackers não se preocupa em fazer isso manualmente porque existem inúmeras ferramentas que permitem criar dezenas ou até centenas de derivações falsas. E é quase impossível encontrar todos depois de gerados, diz Grimes.

Uma solução tecnológica é implantar uma ferramenta automatizada para identificar domínios parecidos associados ao seu domínio corporativo, diz Dickson da IDC. Eles basicamente pesquisarão tanto na Web voltada para o público quanto em sites da Dark Web e Deep Web para ver quem pode estar falsificando sua marca.

Uma consideração adicional para se tornar o mestre de seu domínio é assinar um serviço de reputação. Isso também envolve uma ferramenta de pesquisa para ver quem, se houver alguém, está se passando por você.

Mas eles também podem ter centenas de pessoas fazendo a pesquisa, bem como serviços de suporte, como trabalhar com a aplicação da lei para derrubar domínios ilegais, diz Tony Sabaj, porta-voz da Check Point.

Relações públicas para a internet: Gestão da reputação online

Imagem de ícones de megafone e e-mail, representando o gerenciamento de reputação online O gerenciamento de reputação online significa monitorar e se envolver em atividades online para entender e melhorar a impressão pública de uma empresa. Em outras palavras, relações públicas para a internet.

Aumente a segurança das redes sociais

As marcas também precisam proteger seus canais de mídia social contra ataques. Se comprometidos, esses canais podem se tornar ferramentas para lançar ataques de phishing, diz Grimes.

“É muito comum um hacker invadir uma empresa, pesquisar nas caixas de entrada de contas a pagar e contas a receber e enviar faturas falsas e alterações de informações bancárias para as pessoas”, diz ele, referindo-se ao comprometimento de e-mail comercial.

“Eles podem dizer algo como 'ei, só queremos que você saiba que estamos mudando para um novo banco e você deve enviar seus pagamentos para este novo número de conta e roteamento bancário'.”

Crescimento do comércio social: uma questão de confiança

FCEE_Social_Commerce_1200x375 Espera-se que as compras em plataformas de mídia social aumentem três vezes mais rápido que o comércio eletrônico tradicional, mas as marcas precisam conquistar a confiança do cliente para aumentar a adoção.

Eduque seus clientes (e qualquer pessoa que queira ouvir)

Uma das coisas mais importantes que uma empresa pode fazer para proteger sua marca é informar os clientes sobre a ameaça representada pelos ataques de phishing e o que eles podem fazer a respeito.

Informe-os sobre as tendências atuais de phishing, como hackers enviando e-mails não solicitados dizendo que ganharam algo ou que uma remessa de algo que eles nunca pediram atrasou ou que sua conta foi invadida e requer suporte técnico.

Além disso, atualize regularmente os clientes sobre como você está trabalhando proativamente para combater o phishing. Por fim, aproveite todas as oportunidades para lembrar os clientes de que eles precisam desempenhar um papel para se protegerem.

Ofereça dicas de bom senso, como:

  • Suspeite de comunicação digital com nomes de domínio, fontes, erros de ortografia, gramática ou imagens estranhos . Esses “tells” não são tão comuns quanto antes, mas ainda existem.
  • Procure incompatibilidades entre supostos remetentes, endereços de e-mail, linhas de assunto e a própria mensagem. Por exemplo, recentemente recebi um e-mail mal elaborado que supostamente veio da Lowe's alegando que ganhei um Dewalt Heater. O endereço de e-mail do remetente não incluía o nome da loja de ferragens. O corpo da mensagem trazia no topo o logotipo da EA, a empresa de videogames. E, em vez de me dizer como obter meu aquecedor, dizia que eu havia solicitado uma alteração de senha e poderia clicar em um link para fazer isso acontecer.
  • Desconfie de comunicações que parecem surgir do nada ou que pedem que você faça algo que nunca fez antes com o suposto remetente, como compartilhar informações financeiras ou de identificação pessoal (PII).
  • Nunca clique em links de alguém que você não conhece ou confia, especialmente se eles estiverem pedindo para você escolher uma nova senha.
  • Além disso, fique atento a possíveis vídeos deepfake , que estão sendo usados ​​para phishing. Embora estejam ficando mais lisos, geralmente você pode identificá-los procurando por distorções visuais, como movimentos incomuns da cabeça ou do tronco e problemas de sincronização entre o rosto, os lábios e o áudio, escreve Stu Sjouwerman, fundador e CEO da KnowBe4.

Missão crítica: por que os CMOs estão se concentrando na proteção dos dados dos clientes

CMOs_are_focusing_on_protecting_customer_data_FTR.jpg Na corrida para a conformidade, a confiança do cliente é a linha de chegada. Uma violação de dados pode significar grandes perdas, por isso os CMOs estão se concentrando em proteger os dados dos clientes.

Uma batalha sem fim

No final, as empresas devem encarar o fato de que combater os phishers é uma batalha de ida e volta. Para cada contramedida que as marcas lançam, os cibercriminosos encontrarão outro vetor de ataque – e é por isso que permanecer alerta às ameaças em constante mudança e focar em pessoas, processos e tecnologia é tão crítico.

“Com certeza é um jogo de gato e rato”, diz Sabaj, da Check Point. “Mas há muitas coisas que as organizações podem fazer para evitar o phishing, e elas precisam fazer isso para proteger o valor de sua marca.”

Quer perder clientes a uma taxa espantosa?
 Não respeite a privacidade de seus dados.
 Em vez disso, ganhe confiança + lealdade
 com uma grande estratégia de dados .