Por que phishing continua sendo a maior ameaça de ataques cibernéticos?
Ao gerar um senso de urgência e de emergência em colaboradores, o phishing se torna
um tipo de ocorrência muito comum nas empresas, inclusive em cargos de maior
hierarquia
O phishing é o principal ponto de acesso de infecções, sendo responsável por 41% dos incidentes, sendo que 26% do total resultaram em exploração por parte dos cibercriminosos. Os dados estão em um relatório realizado pela IBM: o X-Force Threat Intelligence Index 2023, trazendo os principais números de 2022.
Mas por que o phishing é tão perigoso para as empresas? A razão é simples: trata-se de um ataque cibernético direcionado às pessoas, o que, por vezes, burla os investimentos em segurança cibernética desenvolvido pelas companhias, inclusive aqueles voltados à identificação de vulnerabilidades.
Seu propósito é enganar as vítimas e fazer com que elas compartilhem suas informações pessoais. Entre os dados, podem estar, inclusive, informações bancárias e de crédito e até mesmo senhas que podem dar a chave das organizações aos cibercriminosos.
Conforme a IBM, 33% das tentativas de burlar os sistemas ocorrem via link, enquanto 62% se dão por meio de arquivos anexos, que podem infectar tanto os dispositivos como os sistemas corporativos.
Guarda baixa, alto risco
O propósito por trás do phishing é criar uma sensação de urgência ou confiança em uma mensagem, que pode ser de e-mail, SMS e até uma chamada telefônica em casos mais amplos.
Com o passar do tempo, porém, esses ataques são cada vez mais direcionados e específicos, fazendo com que o segmento adote o conceito de “spear phishing”. Nesse caso, há uma pesquisa inicial sobre o alvo, o que aumenta a possibilidade de eficiência do ataque.
Um exemplo é um executivo que recebe uma mensagem que aparenta ser de um fornecedor com o qual está acostumado a lidar. Em geral, o spear phishing visa alvos do alto escalão das corporações. Com isso, amplia-se o nível de acesso às informações.
Independentemente da hierarquia do colaborador, um ataque de phishing bem-sucedido pode ser o sinal verde para que os cibercriminosos tenham acesso ao sistema e a dados confidenciais.
Dessa forma, toda a estrutura planejada para segurança ficou para trás por um equívoco humano. No relatório “State of the Phish”, desenvolvido pela Proofpoint, as 5 principais consequências são:
– 44% dos ataques bem-sucedidos de phishing levaram a uma brecha de dados de clientes;
– 43% resultaram em sequestro de dados – os ransomwares, que, muitas vezes, levam ao pagamento de resgate, especialmente se não houver backups atualizados;
– 36% tiveram acessos de colaboradores comprometidos;
– 33% se converteram em perda de dados ou de propriedade intelectual;
– 30% resultaram em perdas financeiras.
Não à toa, dentro da área de suporte de TI, dois dos segmentos mais importantes são o de cibersegurança e de backup e restauração, que aumentam a segurança das empresas em relação ao phishing.
Esse cuidado é ainda mais fundamental em negócios que podem ser impactados por instabilidades periódicas, como, por exemplo, o e-commerce em datas importantes, caso da Black Friday e Natal.
A importância da conscientização
Um dos principais aspectos voltados a evitar golpes relacionados ao phishing está no treinamento, na capacitação e na orientação do time como um todo, inclusive as equipes de Tecnologia da Informação, especialmente quando este tipo de comportamento pelos cibercriminosos está mais comum.
O relatório da Proofpoint mostra uma estatística preocupante em relação ao entendimento dos colaboradores sobre os riscos envolvidos neste tipo de situação.
De acordo com o documento, um terço das pessoas não sabe definir o que é “malware”, “phishing” ou “ransomware”. Em outras palavras, não entendem nem sequer o que são esses ataques cibernéticos, quem dirá como preveni-los.
Entre as informações desconhecidas, encontram-se:
– 21% não sabem que um e-mail pode parecer ser de uma pessoa que não seja o emissário original;
– 44% acreditam que o fato de conhecerem a marca ou a empresa envolvida torna o e-mail seguro: não é à toa que os cibercriminosos buscam simular marcas notórias. Entre as mais recorrentes, estão Microsoft, Google, Yahoo, Facebook, Outlook, Apple e Adobe;
– 63% desconhecem que o link de um e-mail não necessariamente direciona àquele site e pode ser burlado.
Parte desses números é consequência do fato de que apenas 35% das empresas conduzem simulações relacionadas ao phishing, aumentando os riscos aos quais estão expostas.
Os riscos do trabalho híbrido
Um outro ponto que precisa ser atacado pelas empresas está justamente no estabelecimento de limites em relação aos dispositivos que devem ser usados para acessar as informações empresariais. Com a disseminação do trabalho híbrido, esta separação, por vezes, acaba sendo mínima, o que amplia os riscos aos quais as corporações estão expostas:
– 78% dos colaboradores usam dispositivos corporativos para atividades pessoais;
– 72% adotam dispositivos pessoais para atividades da organização;
– 48% deixam a família e amigos usarem os equipamentos corporativos.
Esta mistura de dispositivos para tarefas de ordem profissional e pessoal se relaciona às atividades como leitura de e-mail, acesso às redes sociais e compras online.
A necessidade de reportar
Um dos caminhos fundamentais para se evitar os ataques de phishing é o de orientar os colaboradores quando receberem e-mails aparentemente maliciosos.
Entre as medidas que podem impedir os ataques cibernéticos, estão ações simples de precaução a ser tomadas pelos colaboradores, tais como:
– Adotar uma postura cética em relação aos e-mails, sobretudo aqueles que demandam medidas emergenciais ou solicitem dados confidenciais;
– Checar o remetente do e-mail com atenção. Por vezes, os cibercriminosos alteram apenas uma letra, o que pode passar batido em uma leitura rápida;
– Evitar incluir informações confidenciais em sites desconhecidos;
– Adote firewalls e sistemas de segurança atualizados.
O dever dos colaboradores é o de reportar ao TI o recebimento deste tipo de mensagem, de modo a calibrar ferramentas como o antispam e reduzir os riscos aos quais as organizações estão expostas.