Emails de phishing - Como proteger seus clientes ao usar a assinatura eletrônica

Dilani Silva, 11 de Agosto de 2019

De acordo com um Relatório PhishLabs 2019 , o volume de ataques de phishing contra alvos dos EUA aumentou mais de 40% em 2018. O phishing continua a ser um dos esquemas de engenharia social mais comuns e bem-sucedidos em todo o mundo, sem sinais de desaceleração. O phishing induz as pessoas a clicar em links maliciosos para baixar malware ou fornecer informações confidenciais a criminosos. O aumento de ataques de falsificação de identidade de serviço da web, um tipo de ataque de phishing que usa uma marca reconhecida , envolve sites e e-mails falsos que solicitam às pessoas que façam login e forneçam suas credenciais aos criminosos. Com as credenciais roubadas, os invasores podem acessar outros serviços e se fazer passar pela vítima para roubar fundos.

Os golpistas e os phishers se adaptam aos eventos atuais e às atividades comerciais sazonais. No ano passado, vimos Emails de phishing relacionados ao GDPR e golpes de imposto de renda . Uma tática é mascarar o malware com algo tão rotineiro como uma fatura ou aviso de envio. Brandjacking, em que e-mails maliciosos se fazem passar por marcas reconhecidas, também continua sendo uma tática popular para phishers. Fornecedores como DocuSign estão sob constante ataque de golpistas ( 2017 , 2018 , 2019 , 2020 ), que enviam e-mails falsos supostamente do serviço de assinatura eletrônica do fornecedor. DocuSign é um alvo principal para ataques de phishing volumosos e maliciosos devido ao uso generalizado de sua marca em seu serviço de assinatura eletrônica e notificações por e-mail. Se esses tipos de técnicas de falsificação chegarem aos clientes finais, isso pode levar a downloads de malware (como ransomware) e hackers explorando a identidade e as informações pessoais dos clientes.

O mesmo se aplica a parceiros de negócios e funcionários. De acordo com um Relatório de Ameaça 2018 da eSentire Threat Intelligence, ter as credenciais do Facebook comprometidas afetará sua vida pessoal mais do que qualquer outra coisa; mas “o roubo de credenciais do DocuSign ou do Dropbox pode ter um sério impacto nos negócios”. Quando as credenciais são reutilizadas para várias contas em uma organização, o comprometimento dessas credenciais pode ter implicações ainda mais graves.


Proteja sua marca e clientes contra e-mails de phishing

Como empresa, você investiu muito dinheiro para construir e promover sua marca. A sua marca é importante porque representa a essência do que a sua empresa representa. Uma experiência negativa relacionada à sua marca pode levar rapidamente à perda de negócios, rotatividade de clientes e um impacto negativo nos resultados financeiros da sua empresa. O Relatório do Fator Humano descreve ataques cibernéticos avançados com foco na exploração de credenciais. A figura abaixo extraída deste relatório descreve a eficácia dos emails de phishing baseados em serviços da web como DocuSign, OneDrive e DropBox. As taxas de cliques de e-mail são assustadoramente altas. Cada clique significa que o invasor está um passo mais perto de obter e explorar informações confidenciais do cliente.

documento de phishing

Portanto, o que uma empresa pode fazer para proteger seus clientes e sua reputação? Como uma empresa de segurança digital que evitou bilhões de dólares em possíveis fraudes, entendemos a importância de garantir que seus consumidores tenham uma jornada confiável durante toda a transação digital. O conselho que damos aos nossos clientes é colocar uma etiqueta em branco em toda a experiência da assinatura eletrônica. Você deve ser capaz de colocar os holofotes em sua marca para garantir uma transição ininterrupta entre seu aplicativo de marca e o aplicativo de e-sign. As melhores práticas da indústria têm mostrado que uma transação perfeita e totalmente com a marca reforça a confiança dos clientes e incentiva altas taxas de adoção.

Se você estiver usando uma solução de assinatura eletrônica em que o logotipo e a marca do fornecedor são uma parte importante da experiência da assinatura eletrônica, seu consumidor criará logicamente uma associação entre sua empresa e o fornecedor da assinatura eletrônica. Se o fornecedor experimentar uma violação de segurança ou de dados, como o Violação do DocuSign , embora não tenha nenhuma relação com o seu negócio, pode ter um efeito indireto que afeta a sua empresa por associação. Além disso, uma experiência de assinatura eletrônica com a marca do fornecedor coloca seus assinantes em risco. Quando um cliente seu é o destinatário de um esquema de phishing, seu objetivo principal é explorar sua identidade e informações pessoais. Se conseguir, isso afetará a confiança na sua empresa e o cliente poderá rever a relação dele com você.

Autorização de transação Cronto

Combata ataques de engenharia social e reduza o risco humano em transações bancárias

Saiba mais sobre os ataques de engenharia social mais recentes e como os cibercriminosos exploram vulnerabilidades no processo de autorização de transação para controle de conta. Minimize o risco com as melhores práticas da indústria e recomendações de tecnologia.

Baixe o e-book de Engenharia Social

Diminua a vulnerabilidade de ataques com etiqueta em branco

Ao avaliar as soluções de assinatura eletrônica, certifique-se de que o seu fornecedor considera os seus melhores interesses e está investido no seu sucesso. Se um fornecedor não permitir que você mantenha o foco em sua marca, considere isso uma bandeira vermelha. Ao contrário de outros provedores de assinatura eletrônica que insistem que sua marca está na frente e no centro de seu aplicativo, OneSpan Sign permite que você marque totalmente a experiência - mantendo todo o foco no fortalecimento de sua marca. Quer sua experiência de assinatura seja iniciada por meio de uma notificação por e-mail ou diretamente em um portal da web ou aplicativo móvel, o OneSpan Sign permite que você coloque uma etiqueta em cada aspecto do processo de assinatura eletrônica. Esta é a primeira coisa que você pode fazer para proteger sua marca e seus clientes e impedir que golpistas sofisticados tornem você seu próximo alvo. Procure um provedor de assinatura eletrônica que permita:

  • Integre com seus próprios servidores de e-mail para permitir que e-mails sejam enviados de seu domínio (por exemplo,@yourbank .com) em vez dos deles (por exemplo, enviado via [inserir nome do fornecedor])
  • Personalizar o conteúdo e o visual das notificações por e-mail
  • Personalize as cores, o logotipo e a visibilidade de elementos como cabeçalhos, barras de navegação, rodapés, etc.
  • Personalizar caixas de diálogo e mensagens de erro

Autenticação multifator (MFA)

Além da etiqueta branca, as empresas nunca devem ignorar medidas de segurança, como autenticação multifator. De acordo com um o Google pesquisa, esta é uma das principais maneiras de os especialistas em segurança se protegerem online. O MFA exige que as pessoas provem sua identidade usando dois ou mais métodos de verificação antes que possam ser autenticadas e receber acesso. Dessa forma, se um fator for comprometido ou quebrado, o invasor ainda terá pelo menos mais uma barreira para violar antes de invadir o alvo. Quando se trata de phishing, os métodos MFA implementados corretamente são um impedimento muito mais forte do que o nome de usuário e a senha de fator único.

Hoje, existem muitas opções de MFA que encontram um equilíbrio entre segurança e usabilidade. Além dos tokens de hardware de senha de uso único (OTP) tradicionais, opções móveis, como digitalização de impressão digital e reconhecimento facial são fáceis de usar, tornando a experiência de autenticação sem atrito. Outros métodos de MFA para celular incluem senhas de uso único fornecidas por meio de um aplicativo autenticador móvel ou mensagem SMS. Como um líder de mercado em autenticação multifator , podemos ajudá-lo a entender quais opções são melhores para suas necessidades e usuários exclusivos.

Para saber mais sobre segurança de assinatura eletrônica, leia nosso relatório sobre Segurança e confiança: melhores práticas para a implementação de assinaturas eletrônicas.

 

 

Dilani Silva é gerente de marketing de produto da OneSpan. Em sua função, ela gerencia e executa a estratégia de entrada no mercado, posicionamento, mensagens e habilitação de vendas para a solução de assinatura eletrônica da OneSpan, OneSpan Sign.