Como proteger sua empresa contra ataques de roubo de identidade em 2025
A Okta, líder em gerenciamento de identidade, traz alguns insights sobre as táticas que os crimes online utilizam para atingir empresas roubando credenciais de login de funcionários
Os avanços tecnológicos trazem novas novidades de segurança cibernética para as empresas, instituições públicas e de ensino, como vimos recentemente, com vazamentos de dados do PIX e tentativas de ataque hacker contra o sistema da USP.
Este ano, as credenciais de acesso digital serão o principal ponto de entrada para os invasores. Os criminosos cibernéticos buscam oportunidades para experimentar novas maneiras de escapar da detecção e explorar vulnerabilidades para obter acesso a informações protegidas de organizações e usuários.
Embora não possamos antecipar todas as táticas maliciosas, podemos identificar tendências de segurança que estão em voga em 2025. A Okta, líder em gerenciamento de identidade, apresenta suas orientações e conselhos de especialistas sobre como se preparar.
Ataques de phishing se tornarão mais sofisticados:
O phishing (tentativa de fraude online que usa e-mails, mensagens de texto, telefones e redes online para obter dados de usuários e cometer crimes) continuará sendo um método eficaz para ataques de roubo de identidade. Os golpistas adotaram estratégias mais avançadas e difíceis de detectar, fazendo com que suas atividades pareçam cada vez mais semelhantes aos usuários legítimos.
Como se proteger?
As empresas devem implementar métodos de autenticação resistentes ao phishing que verifiquem as identidades dos usuários por meio de biometria, como reconhecimento facial ou digitalização de impressão digital. Além disso, limitar o acesso a um dispositivo registrado anteriormente e evitar o envolvimento de terceiros na autenticação são práticas recomendadas. Exemplos de autenticadores resistentes ao phishing incluem Okta FastPass, YubiKeys e WebAuthN.
Ataques baseados em dispositivos continuam a ser uma ameaça:
Ataques direcionados a dispositivos comprometem telefones, computadores e sistemas de TI enganando os usuários para instalar malware, permitindo que invasores roubem credenciais de login e obtenham acesso a dados privados.
Como se proteger?
Felizmente, existem várias maneiras de evitar esses ataques. As organizações implantam ferramentas que avaliam a segurança e o nível de risco dos dispositivos que tentam fazer login, permitindo acesso apenas aos dispositivos pré-aprovados.
Em um nível pessoal, fortalecer a segurança por meio da autenticação de dois fatores (2FA) em todas as contas e usar senhas únicas e fortes com a ajuda de um gerenciador de senhas é crucial. Essas medidas reduzem significativamente os riscos de acesso não autorizado e protegem as identidades dos usuários.
Fraquezas em processos de negócios e cadeias de suprimentos serão visadas:
Nem todas as ameaças à segurança envolvem infraestrutura de TI. Alguns invasores exploram fraquezas em processos de negócios. Por exemplo, eles podem passar por novos funcionários ao entrar em contato com o suporte de TI para coletar informações sobre o software usado pela equipe de trabalho, entender as operações da empresa e identificar vulnerabilidades em processos de negócios e cadeias de suprimentos.
Como se proteger?
Verificar as identidades dos funcionários durante a integração e proteção de recuperação de conta com documentação oficial — conhecida como “Identity Proofing” — pode ajudar a prevenir tais ataques. Além disso, educar os funcionários sobre práticas de segurança interna e aumentar a conscientização sobre ataques direcionados a informações é crucial.
Ataques de downgrade de segurança aumentam:
Esses ataques enganam os usuários para que substituam métodos de autenticação resistentes a phishing por alternativas menos seguras. Por exemplo, um invasor pode passar pelo suporte de TI em uma chamada telefônica, solicitando à vítima para remover um fator de segurança de sua conta.
Como se proteger?
Para combater essa ameaça, as empresas devem treinar seus funcionários em táticas de engenharia social, mantendo alertas para e-mails suspeitos, mensagens de texto, chamadas telefônicas e sites fraudulentos. Outra estratégia eficaz é implementar uma autenticação multifator adaptável, que detecta variações específicas em locais de login e dispositivos.
O cenário de ataques de roubo de identidade está em constante evolução, impulsionando inovação e adaptação de ambos os lados. Para empresas que buscam proteger seus usuários e dados, a evolução de tecnologias, políticas e processos de negócios será essencial para estabelecer uma defesa eficaz.
A Okta continua comprometida com a ação por meio do Secure Identity Commitment, uma iniciativa de longo prazo projetada para ajudar as empresas e seus usuários a aumentar a segurança e se defender contra ameaças baseadas em identidade, não importa como elas evoluam.
