Adicione segurança de marca à sua carga de trabalho

*Artigo publicado originalmente em 06 de dezembro

Nos últimos meses, vimos exemplos flagrantes dos danos que os malfeitores causaram à viabilidade financeira de uma empresa e à reputação do produto devido à confusão causada pela nova propriedade e pelas políticas do Twitter.

A segurança da mídia social acaba de se tornar uma prioridade não apenas para os CISOs, mas também para os CMOs, CFOs e CEOs. Como resultado, podemos esperar que ele desempenhe um papel mais proeminente em ataques de malware, violações de segurança e fraudes de verificação de identidade.

Problemas de verificação do Twitter

Você deve ter lido sobre a conta “verificada” do Twitter da empresa farmacêutica Eli Lilly and Co. que compartilhou um tweet que anunciava: “Estamos entusiasmados em anunciar que a insulina é gratuita agora”.

Uau! A verdadeira Eli Lilly & Company anunciou isso no Twitter? Bem, não. Na verdade, a conta que twittou acabou sendo uma conta de um impostor. Mas seguidores do Twitter, investidores, mídia e outros foram imediatamente enganados. Eles pensaram que a empresa farmacêutica estava cedendo às demandas dos usuários para reduzir os preços da insulina.

Quando a verdadeira Eli Lilly & Co. soube do tweet falso, ela respondeu em sua conta oficial: “Pedimos desculpas àqueles que receberam uma mensagem enganosa de uma conta falsa da Lilly. Nossa conta oficial no Twitter é @lillypad.”

Enganado por sistemas impróprios em vigor

Por que o tweet enganou tantas pessoas? De acordo com o The Washington Post, o tweet trazia uma marca de seleção azul “verificada”. Essa marca garantia que a conta do Twitter de uma marca era legítima, de acordo com o sistema de verificação do Twitter que estava em vigor há anos.

Mas, como resultado da mudança de propriedade do Twitter para Elon Musk nas últimas semanas, o antigo sistema de verificação foi descartado e substituído por um novo sistema de verificação chamado Twitter Blue. Por uma taxa de US$ 8/mês, os usuários poderiam obter a marca verificada enquanto Musk tentava angariar novas fontes de receita.

Mas a verificação de identidade real não estava no topo da lista de prioridades. O Twitter não estava verificando a identidade de quem pagou US$ 8/mês pela nova marca de verificação. Isso significava que qualquer um poderia comprar uma marca de seleção “verificada”.

Foi assim que a marca Eli Lilly Twitter e outras foram atacadas. Os golpistas criaram contas “verificadas falsas” para políticos, atletas esportivos, celebridades e outras empresas pagando a taxa de marca de verificação de US$ 8/mês. Infelizmente, a falha do sistema de verificação de identidade já estava causando problemas maiores, escreveu a Wired em seu artigo “Elon Musk’s Twitter Is a Scammer’s Paradise”.

Como resultado da confusão temporária, o preço das ações da Eli Lilly foi impactado, caindo de US$ 368/ação para cerca de US$ 348/ação (embora tenha se recuperado desde então). Mas o tweet falso também chamou a atenção para o alto preço da insulina da empresa, criando um problema de relações públicas mais significativo para a Eli Lilly.

Atores black hat do Twitter/brincalhões encontraram uma porta aberta para fraude de identidade e começaram a usar indevidamente o plano de marca verificada para fins nefastos. Esse “ataque” do Twitter à identidade trouxe a gravidade do phishing e da verificação de identidade para o mainstream.

Muitos de nós na indústria de segurança e inteligência têm falado sobre phishing há anos, mas agora isso tomou novas proporções. As empresas tomarão medidas mais fortes para estabelecer maior segurança na verificação de identidade, especialmente nas mídias sociais?

Fortalecendo a identidade nas redes sociais

Mais desses ataques podem estar chegando. Com a incerteza girando em torno do Twitter e suas orientações para os usuários, os maus atores podem sentir uma jogada fácil para infligir danos semelhantes a outra grande marca. E mensagens falsas sobre preços de produtos são apenas a ponta do iceberg. Outras mensagens fraudulentas ou golpes podem criar um apelo à ação, em que clientes ou até mesmo funcionários são induzidos a compartilhar suas credenciais, o que forneceria acesso à porta da frente da organização.

Agora que vimos com que facilidade as marcas podem ser atacadas, parece inevitável que mais dessas façanhas se tornem a norma. O que acontecerá nas próximas semanas com outras entidades importantes se esse plano de verificação do Twitter Blue não for bem organizado? E indo além do Twitter Blue, as falsificações podem ser perpetradas em outros sites de mídia social e pela criação de sites falsos com a mesma aparência do original de propriedade da marca. Como eles serão checados? O problema do Twitter Blue simplificou as falsificações para qualquer invasor básico, mas qualquer hacker com um nível mais alto de sofisticação pode aproveitar métodos mais elaborados. Como as marcas e empresas podem defender melhor todos esses canais?

Embora se diga que a equipe do Twitter está se reformulando para torná-lo “sólido como uma rocha”, os CISOs precisam colocar salvaguardas para evitar fraudes antes que os invasores possam prejudicar sua marca, alterar o preço de suas ações e talvez até encontre um caminho para roubar os dados da sua organização.

Essas salvaguardas devem se estender às plataformas de mídia social e à web. Este não é apenas um problema do Twitter, apesar da atenção da mídia. O Twitter ganhou as manchetes, mas é um problema muito mais amplo para a indústria.