Analysis
CISA, NSA, FBI e MS-ISAC publicaram em conjunto um guia para ajudar as organizações a reduzir a probabilidade e o impacto de ataques de phishing bem-sucedidos
21/10/2023
|
A CISA, a NSA, o FBI e o Multi-State Information Sharing and Analysis Center (MS-ISAC) publicaram esta semana o “Phishing Guidance, Stopping the Attack Cycle at Phase One” para ajudar as organizações a reduzir a probabilidade e o impacto de ataques de phishing bem-sucedidos. O documento fornece detalhes sobre as técnicas utilizados, assim como as mitigações técnicas e melhores práticas para ajudar a prevenir tentativas de phishing. Os atores mal-intencionados geralmente utilizam o phishing com a intenção de fazer com que as vítimas-alvo visitem um site ilegítimo ou descarreguem malware. Para ajudar as organizações a compreender melhor esta atividade, o guia agora publicado categoriza o phishing em duas táticas comuns: phishing para obter credenciais de login e phishing para implementar malware. O relatório expande ambas as táticas, detalhando as técnicas frequentemente usadas pelos atores, como personificar supervisores/colegas de confiança, usar protocolo de voz sobre Internet para falsificar a identificação de quem telefona e utilizar ferramentas disponíveis publicamente para facilitar campanhas de spear phishing. “Durante muito tempo, a orientação predominante para prevenir ataques de phishing foi que os utilizadores devem evitar abrir em e-mails maliciosos. Sabemos que este conselho não é suficiente. As organizações devem implementar os controlos necessários para reduzir a probabilidade de uma intrusão prejudicial se um utilizador interagir com uma campanha de phishing – o que sabemos que muitos utilizadores fazem, em todas as organizações”, explica Sandy Radesky, Associate Director for Vulnerability Management da CISA. “Com os nossos parceiros NSA, FBI e MS-ISAC, este guia fornece etapas práticas e viáveis para reduzir a eficácia do phishing como vetor de acesso inicial. Sabemos também que muitos dos controlos descritos neste guia podem ser implementados por fornecedores de tecnologia, reduzindo a carga e aumentando a segurança em grande escala. Encorajamos fortemente todas as organizações e fabricantes de software a reverem este guia e implementarem recomendações para evitar tentativas de phishing bem-sucedidas – by design, sempre que possível”. |
Receba todas as novidades na sua caixa de correio!
OPINION
DORA e NIS2 – o mar de mudanças regulatórias
THREATS
Novo alerta de vulnerabilidades partilhado pelo CNCS
THREATS
Microsoft descobre ferramenta de malware com ligações à Rússia
ANALYSIS
Ataques de malware contra a indústria estão a ficar mais sofisticados
THREATS
MITRE alvo de ataque por grupo patrocinado por Estado-nação
ANALYSIS
Verizon: exploração de vulnerabilidades para acesso inicial quase triplicou
ANALYSIS
Ataques de malware contra a indústria estão a ficar mais sofisticados
ANALYSIS
Setor financeiro assistiu a aumento de 53% no número de ciberataques
ANALYSIS
As profissões-chave para proteger as organizações contra ciberameaças
ANALYSIS
Maioria das organizações já implementou estratégia de zero-trust
