Como se proteger contra ameaças crescentes de mídia social

Segundo algumas estimativas, o número de usuários de mídia social em todo o mundo atingiu 4,2 bilhões no início de 2021 e esse número continua a crescer. Além disso, 91,9% dos profissionais de marketing dos EUA em empresas com mais de 100 funcionários usam as mídias sociais para fins de marketing. São muitas empresas que se conectam a muitas pessoas, tornando a mídia social o maior grupo de vítimas em potencial na ponta dos dedos dos golpistas. E isso deixa a maioria das empresas americanas aberta a golpes de phishing de agentes mal-intencionados.
Na verdade, as ameaças nas redes sociais estão aumentando. Em janeiro de 2021, a organização alvo sofreu uma média 34 ataques por meio da mídia social. Com o passar do ano, esse número aumentou significativamente. Em setembro, a organização alvo encontrou uma média de 61 ataques por mês, o que representa um aumento de 82% em três trimestres.

Infelizmente, pode ser extremamente difícil dissipar essa ameaça crescente. À medida que a transformação digital continua a se acelerar – vivendo cada vez mais em um mundo digital como um meio de trabalhar, comunicar, comprar produtos, realizar pesquisas e encontrar entretenimento – nossas vidas estão se movendo para um espaço quase totalmente digital. Isso permite ataques de engenharia social mais fáceis, venda de informações pessoais, falsificação de identidade e fraude em geral. Identificar, localizar e cobrar os golpistas por meio de suas atividades de mídia social é difícil ou impossível na maioria das situações.

Cinco principais tipos de ameaças de mídia social:

Vamos começar definindo os cinco principais tipos de ameaças de mídia social:

1. Fraude: um incidente criado para negar, de maneira fraudulenta, um direito à vítima ou proporcionar ganho ilegal ao ator da ameaça, incluindo a venda não autorizada de credenciais de conta; exposição de dados bancários; fraude de depósito; Fornecimento de acesso a ferramentas concebidas para cometer fraudes; e outras ameaças financeiras.
2. Roubo de identidade: Um incidente incluindo uma falsificação proposital de uma marca corporativa, executivo ou funcionário com a intenção de influenciar a opinião ou enganar as vítimas para que executem uma ação.
3. Ameaça cibernética: um incidente que inclui um risco cibernético intencional para a vítima visada, como tentativas de hacking.
4. Vazamento de dados: vazamento ou compartilhamento não autorizado de dados proprietários ou confidenciais, como credenciais de login, documentos corporativos ou código-fonte.
5. Ameaça física: Uma ameaça física de dano especificamente dirigido a um funcionário, um local físico ou um evento.

Embora a porcentagem de ataques de mídia social relacionados a fraude tenha se estabilizado no terceiro trimestre de 2021 após um aumento significativo no segundo trimestre, o tipo de ameaça continuou a representar a maior parte dos ataques. As ameaças cibernéticas experimentaram o maior aumento entre todos os tipos de ameaças no terceiro trimestre, crescendo 5,5% em relação ao segundo trimestre e respondendo por aproximadamente um quarto das ameaças encontradas. As personificações de funcionários, marcas e executivos também aumentaram ligeiramente, constituindo um quarto adicional das ameaças de mídia social encontradas.

Em relação a setores específicos, os serviços financeiros estavam entre os setores empresariais mais visados pelos ataques de mídia social em 2021. Esse setor é um alvo natural para os agentes de ameaças porque seus serviços são amplamente usados em vários setores comerciais. O setor de recrutamento e pessoal experimentou o aumento mais acentuado de ataques, possivelmente devido à sazonalidade e aos atores da ameaça que atacam os candidatos a emprego durante o recrutamento no final do ano. As informações normalmente coletadas por hackers incluem credenciais de login de usuário e funcionário, informações de cartão de crédito e informações pessoais que podem ser usadas para lançar outros golpes e ataques. Outro fator que contribui para o aumento das ameaças nas redes sociais inclui o foco crescente na criptomoeda. A criptografia não é rastreável e os crypto scams são fáceis de criar, mas difíceis de rastrear.

Dicas de Segurança

Obviamente, como mostram os dados, há uma necessidade urgente de equipes de segurança monitorar e gerenciar mais de perto as atividades nas redes sociais. Aqui estão algumas regras padrão que os funcionários devem seguir:

1 – Não clique em links de postagens, tweets ou mensagens diretas, a menos que tenha 100% de certeza de que são genuínos e bem-intencionados. Pergunte a si mesmo se alguém genuíno realmente entraria em contato com você dessa forma com essas informações.

2 – Reconheça ameaças de problemas financeiros ou ofertas que pareçam boas demais para serem verdadeiras o que realmente são.

3 – Em caso de dúvida, ligue para o número correto da organização ou indivíduo de quem a postagem ou tweet afirma ser para verificar sua autenticidade.

4 – Saiba que mesmo que a postagem ou tweet pareça ter vindo de alguém em quem você confia, a conta dele pode ter sido hackeada ou falsificada.

Procedimentos – proteger contra essas ameaças

Além disso, as equipes de segurança precisam começar a implementar procedimentos como os seguintes para se proteger contra essas ameaças, que certamente crescerão em 2022:

1 – Concentre-se no marketing de “conscientização de segurança de phishing”. Na maioria dos casos, as tentativas de phishing exigem algum tipo de ação ou resposta do usuário para serem bem-sucedidas, portanto, é óbvio que tornar os usuários cientes das táticas usadas pelos golpistas e das consequências de certos comportamentos é fundamental. Considere comunicar periodicamente à sua base de usuários sobre os perigos do phishing e o que deve ser observado.

2 – Empregue especialistas . As equipes de segurança devem ter especialistas móveis dedicados à detecção e curadoria desses tipos de ameaças. O monitoramento ativo é necessário e os aplicativos e e-mails devem ser sinalizados como suspeitos se fizerem referência, personificarem ou replicarem o conteúdo ou imagens de uma marca, incluindo o uso não autorizado de logotipos, marcas registradas, conteúdo, funcionalidade ou aparência.

3 – Faça de seus funcionários o seu exército de linha de frente. Envolva e capacite os funcionários a participarem proativamente de treinamentos em toda a organização, pois é importante dar aos funcionários uma noção de sua importância como barreira humana contra tentativas de phishing. Faça-os sentir orgulho e responsabilidade pela segurança dos clientes da marca.

4 – Proteções de conta. Sempre use um endereço de e-mail comercial para criar contas de mídia social e tenha pelo menos dois “administradores” em cada conta. Isso evita que alguém altere as senhas e bloqueie você. Além disso, cada empresa deve empregar protocolos de alteração de senha padrão e requisitos mínimos de senha.

5 – Verifique o C-suite. Crie contas oficiais para seus principais executivos e faça com que sejam verificadas (ter uma conta verificada ou qualquer conta ajuda a mitigar golpes de falsificação de identidade).

Fonte: Security Magazine.