Phishing Emails - Como proteger seus clientes ao usar a assinatura eletrônica

Dilani Silva, 11 de Agosto de 2019
Phishing Emails

De acordo com um Relatório do PhishLabs de 2019 , o volume de ataques de phishing contra os EUA as metas aumentaram mais de 40% em 2018. O phishing continua sendo um dos esquemas de engenharia social mais comuns e bem-sucedidos do mundo, sem sinais de desaceleração. O phishing leva as pessoas a clicar em links maliciosos para baixar malware ou fornecer informações confidenciais a criminosos. O surgimento de ataques de personificação de serviços da Web, um tipo de ataque de phishing usando uma marca reconhecida , envolve sites e e-mails falsos que solicitam que as pessoas façam login e entreguem suas credenciais a criminosos. Com as credenciais roubadas, os atacantes podem acessar outros serviços e se passar por vítima para roubar fundos. 

Os golpistas e phishers se adaptam aos eventos atuais e às atividades comerciais sazonais. No ano passado, vimos oportunistas E-mails de phishing relacionados ao GDPR e golpes de imposto de renda . Uma tática é mascarar malware com algo tão rotineiro quanto uma fatura ou aviso de entrega. O Brandjacking, onde e-mails maliciosos personificam marcas reconhecidas, também permanece uma tática popular para os phishers. Fornecedores como a DocuSign estão sob constante ataque de golpistas ( 2017 , 2018 , 2019 ), que enviam e-mails falsificados supostamente do serviço de assinatura eletrônica do fornecedor. A DocuSign é o principal alvo de ataques de phishing maliciosos e volumosos devido ao uso generalizado de sua marca em todo o serviço de assinatura eletrônica e notificações por email. Se esses tipos de técnicas de falsificação acabarem alcançando seus clientes finais, isso poderá levar a downloads de malware (como ransomware) e hackers que exploram a identidade e informações pessoais dos clientes.

O mesmo se aplica aos parceiros de negócios e funcionários. De acordo com um Relatório de Ameaças 2018 da eSentire Threat Intelligence, ter as credenciais do Facebook comprometidas afetará sua vida pessoal mais do que qualquer coisa; mas "o roubo de credenciais da DocuSign ou do Dropbox pode ter um sério impacto nos negócios". Quando as credenciais são reutilizadas para várias contas em uma organização, o comprometimento dessas credenciais pode ter implicações ainda mais graves.


Proteja sua marca e clientes contra emails de phishing

Como empresa, você investiu muito dinheiro para criar e promover sua marca. Sua marca é importante, porque representa a essência do que sua empresa representa. Uma experiência negativa relacionada à sua marca pode levar rapidamente à perda de negócios, à rotatividade de clientes e a um impacto negativo nos resultados da sua empresa. O Relatório do Fator Humano descreve ataques cibernéticos avançados que se concentram na exploração de credenciais. A figura abaixo extraída deste relatório descreve a eficácia dos emails de phishing baseados em serviços da Web, como DocuSign, OneDrive e DropBox. As taxas de clique de email são assustadoramente altas. Cada clique significa que o invasor está um passo mais perto de obter e explorar informações confidenciais do cliente. 

documento de phishing

Então, o que uma empresa pode fazer para proteger seus clientes e reputação? Como empresa de segurança digital que evitou bilhões de dólares em possíveis fraudes, entendemos a importância de garantir que seus consumidores tenham uma jornada confiável por toda a transação digital. O conselho que damos aos nossos clientes é colocar em rótulo branco toda a experiência da assinatura eletrônica. Você poderá destacar a sua marca para garantir uma transição ininterrupta entre o aplicativo da marca e o aplicativo de sinal eletrônico. As práticas recomendadas do setor mostraram que uma transação totalmente integrada da marca reforça a confiança dos clientes e incentiva altas taxas de adoção. 

Se você estiver usando uma solução de assinatura eletrônica, na qual o logotipo e a marca do fornecedor fazem parte importante da experiência, o consumidor criará logicamente uma associação entre sua empresa e o fornecedor. Se o fornecedor sofrer uma violação de segurança ou de dados, como a Violação da DocuSign , mesmo que não seja totalmente relacionado aos seus negócios, pode ter um efeito de repercussão que afeta sua empresa por associação. Além disso, uma experiência de sinal eletrônico da marca do fornecedor coloca seus assinantes em risco. Quando um cliente seu é o destinatário de um golpe de phishing, seu principal objetivo é explorar sua identidade e informações pessoais. Se for bem-sucedido, afetará a confiança deles nos seus negócios e poderá fazer com que repensem seu relacionamento com você.

Combater ataques de engenharia social e mitigar riscos humanos em transações bancárias

Combater ataques de engenharia social e mitigar riscos humanos em transações bancárias

Aprenda sobre os mais recentes ataques de engenharia social e como os cibercriminosos aproveitam as vulnerabilidades no processo de autorização de transações para aquisição de contas. Minimize os riscos com as melhores práticas do setor e recomendações de tecnologia.

Faça o download do eBook de Engenharia Social

Diminuir a vulnerabilidade de ataques com etiqueta branca

Ao avaliar as soluções de assinatura eletrônica, verifique se o seu fornecedor tem seus melhores interesses e se investe no seu sucesso. Se um fornecedor não permitir que você mantenha o foco em sua marca, considere isso uma bandeira vermelha. Ao contrário de outros provedores de assinatura eletrônica que insistem que a marca está na frente e no centro de seu aplicativo, o OneSpan Sign permite que você marque totalmente a experiência, mantendo todo o foco no fortalecimento da sua marca. Seja sua experiência de assinatura iniciada por meio de uma notificação por email ou diretamente em um portal da web ou aplicativo móvel, o OneSpan Sign permite que você marque todos os aspectos do processo de assinatura eletrônica. Essa é a primeira coisa que você pode fazer para proteger sua marca e seus clientes e impedir que os golpistas sofisticados o tornem o próximo alvo. Procure um provedor de assinatura eletrônica que permita:

  • Integre-se aos seus próprios servidores de email para permitir o envio de emails do seu domínio (por exemplo, @yourbank .com) em vez dos deles (por exemplo, enviados via [inserir nome do fornecedor])
  • Personalize o conteúdo e a aparência das notificações por email
  • Personalize as cores, o logotipo e a visibilidade de elementos como cabeçalhos, barras de navegação, rodapés etc.
  • Personalizar caixas de diálogo e mensagens de erro

Autenticação multifatorial (MFA)

Além da etiqueta branca, as empresas nunca devem ignorar medidas de segurança, como autenticação multifator. De acordo com um Google pesquisa, essa é uma das principais maneiras pelas quais os especialistas em segurança se protegem online. O MFA exige que as pessoas provem sua identidade usando dois ou mais métodos de verificação antes de poderem ser autenticados e ter acesso. Dessa forma, se um fator for comprometido ou quebrado, o atacante ainda terá pelo menos mais uma barreira a ser violada antes de invadir o alvo. Quando se trata de phishing, os métodos MFA adequadamente implementados são um impedimento muito mais forte do que o nome de usuário e a senha de fator único. 

Hoje, existem muitas opções de MFA que equilibram segurança e usabilidade. Além dos tokens de hardware tradicionais de senha descartável (OTP), opções móveis, como digitalização de impressões digitais e reconhecimento facial são fáceis de usar, tornando a experiência de autenticação sem atritos. Outros métodos de MFA para celular incluem senhas únicas entregues por meio de um aplicativo autenticador móvel ou mensagem SMS. Como um líder de mercado em autenticação multifatorial , podemos ajudar você a entender quais opções são melhores para suas necessidades e usuários únicos. 

Para saber mais sobre a segurança da assinatura eletrônica, leia nosso relatório sobre Segurança e Confiança: Melhores Práticas para Implementar Assinaturas Eletrônicas.

 

Dilani Silva é gerente de marketing de produtos da OneSpan. Em sua função, ela gerencia e executa a estratégia de entrada no mercado, posicionamento, mensagens e ativação de vendas da solução de assinatura eletrônica da OneSpan, OneSpan Sign.