24/06/2015
Por Robert Holmes, gerente geral de Email Fraud Protection da Return Path
Histórias de segurança de TI estão cada vez mais presentes nos noticiários. Casos de práticas de hacking, roubo de dados e a importância de proteger essas informações são tópicos constantes das agências de notícias diárias. O e-mail marketing continua a ser um dos serviços de internet mais valiosos, no entanto, é extremamente vulnerável e propenso a sofrer ataques maliciosos.
Esses ataques, que visam obter dados sigilosos e importantes, podem causar grandes danos a empresas, como perdas por fraudes, despesas com call center, custos de reparação e redução do número de clientes. Um dos ataques mais comuns da web é o phishing (para se ter uma ideia, cerca de 55% das empresas do Reino Unido e dos Estados Unidos já foram vítimas dessa prática). Pensando nisso, a Return Path traçou algumas diretrizes e boas práticas que ajudam a proteger empresas e seus clientes de se tornarem vítimas desses golpes.
O primeiro equívoco que empresas e indivíduos cometem é pensar que e-mails de phishing são sempre fáceis de serem detectados, por conta da má ortografia ou erros na mensagem. Essa crença pode estar correta quando praticantes de phishing enviam mensagens obviamente fraudulentas para testar a vulnerabilidade dos assinantes, mas na maior parte dos casos, e-mails maliciosos são altamente precisos, complexos e sofisticados e, portanto, muito convincentes.
Desde o design de marca e tom de linguagem até small print [i], mensagens de phishing são elaboradas de modo a parecerem as mais legítimas possíveis para enganar as pessoas. Dessa forma, o uso de soluções de negócios precisa ser integral e tão preciso e sofisticado como essas ameaças de e-mail. As empresas devem focar em soluções multicamadas que eliminem o problema quando possível e reduza o impacto de ataques o quanto antes.
O que as empresas podem fazer para proteger sua marca e clientes?
1. Autenticação de e-mail e governança: essa é a primeira linha de defesa contra qualquer ataque de phishing. Autenticar todos os e-mails de saída com o DKIM (Domain Keys Identified Mail) [ii] e SPF (Sender Policy Framework) [iii] é a única forma de validar sua identidade de envio e garantir a provedores que podem bloquear mensagens não autenticadas. Esses padrões de autenticação são cruciais para fornecer a provedores provas mais do que suficientes de que seu e-mail é legítimo, algo que filtros anti-spam nem sempre acertam. Já vimos ataques óbvios de phishing passarem por filtros de provedores e, em um caso, menos de 7% das mensagens fraudulentas foi identificada.
2. Implementar o DMARC: DMARC (Domain-based Message Authentication, Reporting and Conformance) é uma política de especificação que informa a provedores o que fazer com mensagens que não passam pela autenticação. Ao fazer referência a uma política de envio do DMARC, empresas podem indicar que suas mensagens são protegidas por DKIM e SPF. Com o DMARC, então, suposições são eliminadas, assim como o impacto do phishing.
3. Bloqueio preventivo: estabelecer e reforçar políticas de bloqueio para os principais provedores de e-mail, de modo a evitar ataques de phishing antes mesmo de alcançarem os usuários. Quando uma marca adiciona seus domínios de envio a um registro de autenticação, provedores podem bloquear todas as mensagens não autenticadas para alavancar seus domínios.
4. Proteção proativa: empresas devem monitorar proativamente seus fluxos de e-mail para garantir uma completa visibilidade de ameaças. O DMARC oferece às empresas relatórios sobre cada e-mail que não passa pela autenticação de provedores, criando um panorama claro sobre mensagens enviadas por seus domínios que podem ser fraudulentas. O uso de softwares de domínio seguro para configurar alertas em tempo real permite que companhias tomem conhecimento sobre quaisquer mensagens suspeitas em seus fluxos de e-mail. Quanto mais rápido um ataque for identificado, melhor: o momento mais importante de um ataque são as primeiras horas, em que as pessoas estão mais propensas a responder.
5. Educação: empresas devem publicar avisos e orientações que informem como irão se comunicar com seus clientes, por exemplo, destacando que informações de conta nunca são solicitadas via e-mail.
6. Preparo: companhias devem ter um plano em prática para lidar com mensagens de phishing que falsificam seus domínios. Isso pode incluir:
-
Estabelecer uma “equipe de resposta rápida” com responsabilidades claramente definidas para lidar com as consequências de um ataque;
-
Criar modelos de comunicação externos e internos para clientes e funcionários, que podem rapidamente ser adaptados às especificadas do ataque e distribuídos;
-
Trabalhar com uma empresa de takedown para garantir que todos os sites de phishing relacionados ao ataque serão desativados;
-
Notificar clientes que a marca está sendo vítima de phishing e no que devem prestar atenção;
-
Notificar autoridades locais e governamentais (ou organização legal aplicável) sobre o crime;
-
Participar de um registro de remetente confiável, para permitir que provedores de e-mail bloqueiem mensagens não autenticadas que usam seu domínio.
7. Alinhar as equipes de marketing e de segurança de TI: equipes de marketing e TI podem e devem trabalhar em conjunto para melhor proteger a empresa e seus clientes de tentativas de phishing e ataques. O pessoal de segurança de TI tem boa visão sobre o tráfego e monitoramento de atividades, bem como se mantém atualizado sobre eventuais fraudes ou ameaças que representam uma preocupação com os negócios. Como o time de marketing elabora as campanhas de e-mail, seu pessoal está plenamente consciente das mensagens legítimas e com quais os usuários se engajam. Além disso, essa equipe tem uma visão geral de todos os domínios que são utilizados pela empresa, portanto, seria capaz de rapidamente identificar quais domínios foram utilizados indevidamente em um ataque. Com ambos os times trabalhando juntos, as empresas terão meios de melhor se planejar, identificar e responder às ameaças cada vez mais complexas presentes hoje em dia, através do compartilhamento de conhecimento, visões e experiências.
Ataques de phishing que roubam informações são umas das maiores ameaças para manter-se a confiança de usuários hoje em dia. Através do uso de tecnologia e informações corretas, as empresas podem efetivamente combater os ataques, cada vez mais sofisticados. Ao obter uma visão geral do fluxo de e-mails enviados e usar inteligência de dados, as marcas podem identificar ameaças de phishing e tomar as devidas medidas contra elas, até mesmo antes de terem a chance de causar sérios impactos.
[i] Parte do e-mail que contem reservas e qualificações, normalmente editadas em fonte pequena
[ii] DKIM (DomainKeys Identified Mail) também é um sistema de validação de e-mail que visa detectar fraudes de e-mail e fornece métodos de validação de domínios que são associados a uma mensagem através de autenticação criptográfica
[iii] SPF (Sender Policy Framework) é um mecanismo de validação de e-mail, cujo objetivo é detectar práticas de spoofing a partir de lista de domínios de envio autorizados