Ferramentas para proteger os dados contra phishing
Neste post, destacamos dicas importantes para proteger a sua organização contra ataques de phishing.
Um dos maiores riscos para qualquer empresa é o phishing. Essa forma de ataque virtual é tão comum que é difícil encontrar alguém que não tenha passado por isso até agora. E, à medida que os maus fraudadores se tornam mais astutos, é importante que os profissionais se equipem com as ferramentas certas para proteger os seus dados mais sensíveis.
O phishing é uma técnica usada para enganar indivíduos a divulgarem informações pessoais — como credenciais de login — ou lançarem malware para roubar conjuntos mais amplos de dados armazenados em seus computadores ou redes conectadas. Um phishing geralmente parece um e-mail válido de uma fonte confiável, que engana os destinatários e os leva a abrir o e-mail e clicar em anexos ou links contidos.
O grupo de trabalho Anti-Phishing observou mais de cinco milhões de ataques de phishing em 2023. De acordo com o Relatório de Investigação de Violação de Dados da Verizon 2024, 68% das violações de dados foram causadas por erros humanos. Esses números destacam a importância de garantir que os funcionários sejam devidamente treinados para identificar, sinalizar e relatar e-mails suspeitos.
Neste post, destacamos dicas importantes para proteger sua organização contra ataques de phishing. Além disso, contar com soluções seguras de assinatura eletrônica e CLM (gestão do ciclo de vida de contratos) são fatores importantes rumo à proteção de dados sensíveis.
Conheça como é fácil usar a assinatura eletrônica da Docusign
Aprenda a reconhecer um phishing
Uma das nossas principais prioridades é tornar a sua experiência com o Docusign o mais segura e protegida possível — a confiança está em nosso DNA e enraizada em nosso pessoal, processos e plataforma.
Estamos comprometidos em empregar a tecnologia mais recente e o conhecimento da indústria para manter nossos clientes seguros contra malfeitores virtuais, mas é necessário a conscientização e o compromisso de todos os envolvidos para alcançar o mais alto nível de segurança. Aprender a reconhecer e-mails suspeitos é a melhor maneira de proteger a si mesmo e seus dados.
Faça a si mesmo as perguntas certas
Geralmente, é melhor ser cético em relação a e-mails estranhos. Aqui está uma lista rápida de perguntas que você pode percorrer para garantir que um e-mail seja legítimo:
Você está esperando o e-mail?
Você reconhece o remetente?
A assinatura do e-mail e o nome/endereço de e-mail do remetente correspondem?
Se for um e-mail do Docusign, ele tem o novo e correto logotipo/marca?
A aparência ou o tom estão diferentes do normal?
Há erros de ortografia ou gramática ao longo do texto?
É mais genérico do que deveria ser?
Está pedindo que você forneça suas informações pessoais ou de login?
Os links estão levando você a um lugar válido e esperado (passe o mouse sobre eles sem clicar no seu computador ou toque longo no seu dispositivo móvel para ver o link)?
Há emoções fortes ou uma urgência comunicada?
Você apenas sente que é estranho?
Algumas camadas adicionais de proteção contra phishing são:
Ativar autenticação de múltiplos fatores, quando possível;
Usar senhas fortes e únicas;
Garantir que o seu software de antivírus esteja atualizado.
Como detectar tentativas de phishing com tema Docusign
Algumas técnicas simples podem ajudá-lo a distinguir entre um e-mail falsificado do Docusign e o verdadeiro:
Não abra anexos desconhecidos ou suspeitos ou clique em links — o Docusign nunca pedirá que você abra um documento do Office ou um arquivo zip em um e-mail;
Passe o mouse sobre todas as URLs de links incorporados — para visualizar ou assinar documentos do Docusign, eles devem conter apenas “docusign.net/” e garantir que sempre comecem com “http”;
Se o e-mail contiver um QR code, verifique a fonte conferindo os links associados, endereços de e-mail e números de telefone antes de escanear;
Acesse os seus documentos diretamente de www.docusign.com inserindo o código de segurança único, que está incluído na parte inferior de cada e-mail do Docusign;
Reporte e-mails suspeitos com tema Docusign para sua equipe interna de TI/segurança e para spam@docusign.com;
Certifique-se de que tenha o logotipo e branding corretos Docusign;
Um link do site Docusign começará com “https://www.docusign.net”; o link também pode incluir um subdomínio de um de nossos outros servidores, como, “na2”, “na3”, “na4”, “au”, “ca”, “eu” ou designações “demo”.
Nota: no e-mail final que você recebe informando que o envelope está completo, você pode receber um documento PDF assinado como anexo.
Exemplos falsos do Docusign
Nos dois primeiros exemplos abaixo, as URLs não começam com “https” nem incluem “docusign.net”. Ambos usam logotipos antigos do Docusign.
O terceiro exemplo, mostra “quishing”, onde um atacante anexa um QR code malicioso a um envelope falso do Docusign. Quando escaneados, os códigos direcionam os destinatários para sites fraudulentos que tentam capturar credenciais de login.
Antes de escanear um QR code, verifique novamente outras informações fornecidas na mensagem; passe o mouse sobre os links para verificação, confira endereços de e-mail e os números de telefone;
Não use dispositivos pessoais para escanear códigos QR de e-mails de trabalho.
Como Docusign se protege contra phishing
Docusign detecta e desencoraja proativamente tentativas de phishing. Temos a profunda experiência e o conhecimento da equipe de segurança aliados a técnicas automatizadas e sofisticadas, como:
A utilização de ferramentas de automação personalizadas (desenvolvidas em conjunto com a equipe de segurança do Docusign) para processar URLs potencialmente fraudulentas enviadas para spam@docusign.com por clientes ou relatadas em feeds de inteligência de ameaças;
O uso de algoritmos de aprendizado de máquina (machine learning) para melhorar a precisão e reduzir falsos positivos ao identificar tentativas de phishing;
O emprego de painéis de desempenho e visualizações para rastrear tendências de phishing ao longo do tempo, que analisa páginas de phishing em tempo real
Ao reforçar o DMARC (sigla em inglês Domain-based Message Authentication, Reporting and Conformance) em uma política de rejeição do Docusign.net, qualquer e-mail falsificado supostamente enviado de docusign.net é rejeitado por todos os provedores de e-mail que suportam DMARC, após isso, conteúdo é enviado para análise da Docusign;
Colaboração com fornecedores de segurança líderes e organizações de aplicação da lei para compartilhar, remover e adicionar a listas de negação quaisquer sites maliciosos e prevenir novos ataques de phishing.
Para informações sobre segurança e desempenho do sistema Docusign, visite o Centro de Confiança do Docusign.
Publicações relacionadas