Dicas Rápidas Proteção de Dados

Phishing: O que é e como se proteger

O ataque de phishing é uma constante ameaça à segurança da informação nos dias de hoje. Trata-se de uma fraude elaborada a fim de enganar pessoas. Os objetivos costumam ser o roubo de usuários e senhas e instalação de códigos maliciosos, mas podem ser outros.

O termo phishing tem origem nos anos 90 e remete à fishing, pescaria em inglês. Primeiramente foi atribuído aos ataques para roubos de usuários e senhas do America Online (AOL), que foi um dos primeiros provedores de acesso à Internet. Estes ataques têm as seguintes características: são massificados; com alvos aleatórios; e tentam reproduzir as identidades de grandes corporações como bancos e empresas de tecnologia.

O desenvolvimento dos ataques de phishing

A evolução do phishing deu origem às derivações como o spear phishing ou “pesca com arpão”, e o whaling ou “pesca ao peixe grande ou baleias”. Ambas representam ataques direcionados, com base em informações coletadas especificamente sobre o alvo do ataque. Entretanto, whaling costuma costuma ser usado para denominar ataques com alvo nos profissionais com níveis de direção ou C-level.

O uso combinado de ataques pode aumentar a possibilidade de fraude, por exemplo, com base nos alvos atingidos em massa. O atacante pode ter adquirido a identidade de um membro de uma corporação e dessa forma realizar o levantamento de informações e disparar um novo ataque. Este tipo de ataque chamamos de spear phishing. Sua finalidade consiste em atingir novos alvos. Outro exemplo ainda, mas menos elaborado, pode ser o roubo das informações de um smartphone sem proteção por senha, onde o atacante executa técnicas de engenharia social contra os contatos da vítima.

Como informação do mercado, o relatório de segurança da Cisco de 2016, indica que os desafios enfrentados com ataques de phishing são representativos sob a ótica dos entrevistados e só é superada pelos malwares.

Outra informação relevante do relatório da Cisco é a tendência de ataques aos servidores que possuem a aplicação WordPress. Assim, servidores servem de plataforma para ataques mascarados por identidades confiáveis.

Como proteção de maneira corporativa, deve ser desenvolvida uma política de segurança da informação contendo diretivas a fim de mitigar e controlar esses problemas. Para a elaboração da política, comumente é utilizada norma ABNT NBR ISO/IEC 27002 sobre segurança da informação. Especificamente para a saúde, o ISO 27799.

São necessárias algumas medidas para se proteger dos ataques:

1. Conhecimento 

Estar atento aos novos tipos de ataques pode prevenir que você seja vítima. Treinamentos fornecidos pelos administradores da tecnologia da informação, como parte de uma política de segurança, podem servir de fonte de conhecimento para o combate. Sites como Anti-Phishing Work Group e Phishing,org, podem ser fontes de conhecimento. Vale também mencionar, sobre vulnerabilidades em geral, o site Common Vulnerabilities and Exposures (CVE), que possui uma extensa base de registros para os mais diferentes sistemas, desde os operacionais até firmwares de equipamentos.

2. Pense antes de clicar em endereços 

Mesmo que o site ou o e-mail pareça legítimo, fique atento às potenciais fraudes. Já foi a época que os e-mails de phishing eram mal formatados, com erros de grafia, design ou outra falha que pudessem ser rapidamente identificadas. É muito comum ser possível visualizar o destino de um link, passando o ponteiro do mouse sobre ele, antes de efetivamente clicar. Entretanto, os links podem ser mascarados de forma a dificultar sua detecção.

3. Utilize complementos de navegador anti-phishing

Existem ferramentas que podem ser instaladas nos navegadores para o uso específico de restrição contra ataques. Entretanto, deve-se ser possível validar adequadamente a origem de tais complementos.

4. Verifique a confiança do site

A forma mais adequada é verificar as informações de sites seguros, os quais possuem endereço https com certificados digitais para a garantia de identidade do servidor. Os certificados digitais são emitidos por autoridades certificadoras confiáveis e possuem a informação do endereço do site de destino. Os navegadores possuem verificações segurança e alertam os usuários de eventuais problemas, portanto, os alertas não devem ser ignorados.

5. Mantenha os softwares atualizados 

Esta é uma recomendação bastante comum para qualquer proteção de segurança, mas é sempre importante mencionar.

6. Não compartilhe informações pessoais

Desconfie de sites, e-mails, popups, ligações entre outros canais que possam solicitar informações pessoais, mesmo que pareçam confiáveis nas origens. Por exemplo, como mencionado no spear phishing, pode ser que a comunicação tenha origem em algum contato conhecido que tenha sofrido roubo de identidade.

7. Use firewalls 

Recursos como firewalls, NGFW (next generation firewalls), proxy, UTM (unified threat management) ou outros sistemas que realizem proteção de perímetro e análise de tráfego de dados. Dessa forma, pode-se impedir por meio de listas de endereços confiáveis e restritos (listas negras), a propagação de um ataque.

8. Use antivírus

Estes aplicativos são atualizados com frequência quantos aos padrões de detecção contra códigos maliciosos. As soluções recentes possuem melhor desenho de processamento e impacto se comparadas com as do passado. Além disso, não podemos ignorar os antivírus nos smartphones, pois estes aparelhos também podem ser utilizados como brechas de segurança para roubo de informações ou novos ataques.​

Por fim, nada é 100% seguro e não há uma única solução contra ataques. Portanto, é importante coordenar o uso de ferramentas, procedimentos, políticas e conscientização para mitigar os riscos de segurança.

E-VAL Saúde

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.