Por Carlos Rodrigues, vice-presidente da Varonis para a América Latina.
A maioria dos executivos está familiarizada com o termo “roubo de identidade”, uma ameaça que coloca em risco uma série de informações de identificação pessoal, como nome, CPF, dados de cartões de crédito, entre outros. No entanto, tem crescido o número de casos em que os hackers roubam informações de empresas, gerando uma série de prejuízos ao negócio.
Quando falamos no roubo de identidade de um usuário, um hacker se passa por uma pessoa para fazer compras, fazer empréstimos nos bancos e até praticar golpes de engenharia social em conhecidos da vítima. No caso do roubo de identidade corporativa, que cresceu 46% ao ano desde 2017, segundo dados da empresa Dun & Badstreet, os hackers fazem basicamente o mesmo, mas com informações corporativas.
Os hackers que executam esse tipo de ataque têm acesso a listas de clientes ou informações chave do negócio para concorrer diretamente com a empresa ou até se passar pelo negócio, colocando em risco segredos industriais e a reputação da empresa. Informações divulgadas recentemente pelo FBI mostram que um único caso recente custou à empresa envolvida US$ 1 bilhão em market share e centenas de empregos.
Qualquer negócio está sujeito a esse tipo de ataque, especialmente porque muitas das informações necessárias para se passar por uma empresa são públicas – comprar legalmente essas informações também é relativamente fácil. Além disso, a ameaça também pode vir de dentro da empresa, já que é um desafio ainda maior se proteger de quem tem mais conhecimentos da empresa e pode causar danos mais rapidamente e de maneira mais efetiva.
Além da percepção de que é mais fácil encontrar dados de organizações do que dados pessoais, esse tipo de ataque está crescendo porque as empresas levam muito mais tempo para perceber que algo está errado – meses ou até anos.
Como os cibercriminosos operam para roubar identidades?
Hoje os criminosos estão encontrando modos mais sofisticados de se passar por marcas conhecidas. Ao mesmo tempo em que criar mensagens e correspondências falsas são métodos comuns, outras táticas mais avançadas continuam a crescer, como phishing scams, e-mails que parecem oficiais e contêm elementos gráficos roubados para simular mensagens originais, estimulando a equipe a clicar em links infectados para roubar suas informações.
Outra forma comum de roubar a identidade da empresa é invadir o e-mail de executivos e enviar e-mails falsos para a equipe financeira pedindo depósitos urgentes, por exemplo. Até os pontos de wi-fi falsos podem ser usados com a expectativa de que os funcionários se conectem a eles por engano, deixando o sistema vulnerável e facilitando o acesso às informações.
Tanto as grandes quanto as pequenas empresas precisam reconhecer os riscos oferecidos por esse tipo de ameaça para tomar as medidas necessárias para prevenir perdas financeiras e danos à reputação da organização.
Para proteger o negócio desse tipo de ameaça, é importante contar com uma estratégia de gestão de dados capaz de restringir o acesso apenas às informações de que os funcionários precisam para realizar seu trabalho, bem como excluir o acesso de colaboradores que não fazem mais parte da empresa. Também é fundamental estar atento a relatórios de crédito, contas de banco, mídias sociais e pesquisas na web realizadas envolvendo o nome da organização e seus executivos.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.