De acordo com a multinacional de cibersegurança Kaspersky, existem vários serviços web que os colaboradores de pequenas e médias empresas (PME) acedem com maior frequência enquanto trabalham. Entre estes estão YouTube, Facebook, serviços Google e WhatsApp, sendo algumas destas aplicações as mais exploradas pelos cibercriminosos, através de ataques de phishing. No entanto, esta lista difere dos serviços que as empresas tendem a limitar para utilização em dispositivos empresariais. Embora as organizações possam ter prioridades e permissões diferentes para os serviços web que os seus colaboradores podem utilizar, continua a ser importante garantir que estes se mantêm protegidos contra quaisquer ciberriscos.
É cada vez mais importante que as organizações compreendam as ameaças atualmente mais relevantes e como estas se podem infiltrar em endpoints corporativos – por exemplo, através de phishing em serviços cloud. Quando um serviço web se torna popular, pode também converter-se num alvo mais atrativo para os cibercriminosos, como foi o caso do TikTok, que ganhou enorme popularidade nos últimos anos. O que acontece é que esta rede social aparenta estar cheia de contas falsas e de cibercriminosos, que estão gradualmente a melhorar as suas capacidades à medida que a popularidade da aplicação aumenta. Desta forma, a proteção contra tais esquemas e tentativas de phishing é crucial para assegurar que tanto as contas pessoais dos utilizadores, como os dados e dispositivos empresariais permanecem seguros.
De acordo com estatísticas anónimas de eventos detetados por uma solução da Kaspersky, fornecidas voluntariamente pelos seus clientes, os cinco serviços web que os colaboradores utilizam com maior regularidade, a partir dos seus dispositivos empresariais, incluem uma plataforma de partilha de vídeos, uma rede social, um serviço de correio eletrónico e um messenger: YouTube, Facebook, Google Drive, Gmail e WhatsApp, todos serviços líderes nos seus respetivos segmentos.
Infelizmente, estes mesmos serviços web são também explorados para ataques de phishing e outras ações maliciosas. A análise da Kaspersky permitiu concluir quais são as cinco aplicações onde foram encontradas mais tentativas de phishing: Facebook (4.5m tentativas de phishing), WhatsApp (3.7m), Amazon (3.3m), Apple (3.1m) e Netflix (2.7m). As plataformas da Google, incluindo o YouTube, Gmail e Google Drive, ocuparam a sexta posição da lista com 1.5m de tentativas de phishing. Estes resultados apenas confirmam o facto das aplicações mais populares se terem convertido em plataformas valiosas para as ações maliciosas dos cibercriminosos.
As estatísticas revelaram também quais as aplicações web mais suscetíveis de serem limitadas em dispositivos corporativos. As cinco aplicações mais bloqueadas incluem apenas redes sociais: Facebook, Twitter, Pinterest, Instagram e LinkedIn. Estas decisões podem ser tomadas pelas empresas por uma variedade de razões, tais como o cumprimento de regulamentos de dados ou agir em conformidade com requisitos específicos internos para a utilização das redes sociais. E embora incluam o Facebook, que é ativamente explorado para ataques, não incluem messengers, partilha de ficheiros ou serviços de correio eletrónico – provavelmente porque são frequentemente utilizados para fins de trabalho, bem como para necessidades pessoais.
| Serviços mais utilizados | Serviços bloqueados com maior frequência | Principais serviços explorados para tentativas de phishing |
| YouTube | ||
| Google Drive | Amazon (todos os serviços) | |
| Gmail | Apple (todos os serviços, incluindo a iCloud) | |
| Netflix |
Tatyana Sidorina, especialista em segurança da Kaspersky, assinala: «Não podemos imaginar a nossa vida quotidiana e o nosso trabalho sem diferentes serviços web, onde estão incluídas as redes sociais, aplicações de conversação e plataformas de partilha de ficheiros. Eles permitem-nos comunicar e partilhar pensamentos, ideias, imagens e o que nos inspira – isto tornou-se ainda mais uma realidade este ano, quando o mundo inteiro passou vários meses on-line. Contudo, é importante para qualquer organização compreender de onde podem vir as ameaças e que tecnologia e medidas de sensibilização são necessárias para as evitar. As empresas também precisam de proporcionar aos seus colaboradores uma utilização confortável dos serviços de que necessitam, pelo que é crucial obter o equilíbrio certo. Na Kaspersky, temos isto em consideração e fornecemos às organizações ferramentas de proteção e conhecimentos relevantes.»
Dicas
Para garantir que os colaboradores utilizam serviços web com a máxima segurança, a Kaspersky aconselha as empresas a seguir os seguintes passos:
– Mostrar aos colaboradores como reconhecer sites falsos ou inseguros e mensagens de phishing. Incentivá-los a nunca introduzir as suas credenciais antes de verificarem a credibilidade de um site ou abrir e descarregar ficheiros a partir de remetentes desconhecidos.
– Realizar formação básica de sensibilização para a segurança dos colaboradores. Isto pode ser feito on-line e deve abranger práticas essenciais, incluindo as que protegem contra phishing, tais como gestão de conta e palavras-passe, segurança de correio eletrónico, segurança de endpoint e navegação na web. A Kaspersky Automated Security Awareness Platform proporciona esta formação de uma forma fácil e eficaz.
– Utilizar um produto de segurança de endpoint comprovado com proteção contra ameaças na web, rede e correio eletrónico.
– É também importante reforçar o conhecimento dos gestores de IT (tecnologias de informação) em ciberameaças relevantes e em como evitá-las. O Kaspersky Endpoint Security Cloud fornece uma formação on-line de cibersegurança IT, que permite aprender novas competências sobre como classificar malware e como reconhecer comportamentos maliciosos e suspeitos em software. Está disponível na versão beta na consola de gestão do produto.