Há cerca de um mês, a rede global de hospitalidade MGM Resorts foi vítima de ataque cibernético que afetou desde máquinas caça-níqueis até o sistema de check-in, com prejuízo estimado em US$ 15 milhões. Os cibercriminosos por trás da campanha maliciosa, supostamente do grupo Scattered Spider, acessaram os sistemas da companhia por meio de um telefonema, realizando um ataque conhecido como vishing.
“O vishing, que combina as palavras ‘voice’ e ‘phishing’, é uma forma de ataque em que fraudadores tentam obter informações pessoais ou financeiras sensíveis por meio de ligações telefônicas enganosas. No caso da MGM, os invasores se passaram por colaboradores para obter credenciais de acesso, invadir sistemas internos e roubar dados”, explica Jonathan Arend, Principal Consultant de Cybersecurity da keeggo.
A experiência da gigante americana acende alerta para a segurança cibernética de empresas brasileiras. Segundo a Pesquisa Nacional BugHunt de Segurança da Informação, mais de 1/4 das organizações sofreram ataques cibernéticos no último ano, aumento de 8% em relação a 2021. O vishing foi um dos principais ataques relatados, com 11,1% de ocorrência.
Para ajudar empresas a melhorar a postura de segurança digital contra ataques de vishing, o especialista da keeggo recomenda algumas estratégias:
1. Treinamento de funcionários: Treine funcionários para reconhecer e relatar tentativas de vishing. Eles devem estar cientes de que nunca devem compartilhar informações confidenciais por telefone, a menos que tenham verificado a identidade da pessoa que está ligando.
2. Verificação de identidade: Sempre verifique a identidade da pessoa que está ligando antes de compartilhar informações confidenciais. Isso pode incluir a confirmação de identidade por meio de senha ou perguntas de segurança previamente definidas.
3. Política de segurança de dados: Implemente políticas de segurança de dados que proíbam o compartilhamento de informações confidenciais por telefone sem a devida autenticação e autorização.
4. Autenticação de dois fatores (2FA): Use a autenticação de dois fatores, sempre que possível, para acesso a sistemas e contas críticas. Isso torna mais difícil para atacantes obterem acesso indevido.
5. Monitoramento e registro de chamadas: Monitore chamadas telefônicas críticas e sensíveis para ter um registro de atividades caso seja necessário investigar ou comprovar a autenticidade de uma chamada.
6. Atualizações de software e antivírus: Mantenha softwares atualizados com as últimas correções de segurança e implemente antivírus/antimalwares em todos os sistemas para evitar vulnerabilidades conhecidas.
7. Criptografia de dados: Use criptografia para proteger dados confidenciais enquanto eles estão em trânsito e em repouso, tornando mais difícil para invasores acessá-los.
8. Backup de dados: Faça backups regulares de dados críticos e mantenha-os em locais seguros. Isso pode ajudar a recuperar dados em caso de comprometimento.
9. Avaliações de segurança regulares: Realize avaliações regulares de segurança, como testes de penetração e simulações de phishing/vishing, para identificar vulnerabilidades e treinar funcionários.
10. Plano de resposta a incidentes: Tenha um plano de resposta a incidentes em vigor para lidar com ataques de vishing e outras ameaças cibernéticas. Isso inclui ações específicas a serem tomadas em caso de suspeita de ataque.
Por fim, Jonathan Arend reforça que a segurança cibernética deve ser uma preocupação constante e que antecipar-se às ameaças é essencial para manter a segurança: “Procurar um especialista ou uma consultoria de cibersegurança pode ser uma estratégia inteligente para garantir que a empresa esteja adequadamente protegida contra ataques cibernéticos, incluindo o vishing”.
