E-mails de phishing estão mais críveis do que nunca. Veja o que você pode fazer a respeito

Phishing não é novo, assim como os e-mails de phishing. Esta tática de engenharia social existe nas respectivas caixas de ferramentas dos atacantes há décadas, com os atores da ameaça se passando por contatos de confiança e depois a visarem vítimas inocentes por meio de e-mails ou mensagens de texto para roubar dados sensíveis. Existem muitos dados que ilustram a eficácia deste método de ataque. De acordo com o relatório global de Ransomware de 2023 da Fortinet, o phishing é a principal tática (56%) usada por agentes mal-intencionados para se infiltrar em uma rede e lançar ransomware com sucesso.

Embora os agentes mal-intencionados sempre tentem criar comunicações de phishing aparentemente legítimas, alguns cibercriminosos se destacam nisso mais do que outros. Historicamente, as comunicações de phishing costumam ser fáceis de detectar devido à redação descuidada, cheia de erros ortográficos e gramaticais. No entanto, à medida que as ferramentas de conteúdo baseadas em IA se tornam mais amplamente disponíveis a um baixo custo ou nulo, os cibercriminosos estão recorrendo a estas tecnologias para avançar em suas operações. Uma maneira de fazer isso é usar IA para que os seus e-mails e mensagens de texto de phishing pareçam mais realistas do que nunca, aumentando as chances de sucesso em fazer com que as vítimas cliquem em um link malicioso.

Leia mais: Inteligência artificial tem papel-chave na detecção de ameaças

À medida que inauguramos uma nova era de comunicações criadas por IA, os funcionários das empresas têm um papel ainda mais crítico na defesa contra tentativas de violação. No entanto, simplesmente aconselhar os funcionários a procurarem atributos “tradicionais” de phishing não é mais suficiente para manter a empresa segura. Além de investir nas tecnologias certas, como habilitar filtros de spam e implementar a autenticação multifator, a educação dos funcionários pode fazer ou anular seus esforços para proteger a sua empresa contra phishing e ransomware.

Phishing continua sendo o método de entrega nº 1 para ransomware

De acordo com pesquisas recentes, o phishing continua sendo o principal vetor de ataque associado à distribuição de ransomware. E é fácil perceber por que ele é o vetor de escolha, à medida que os invasores continuam tendo sucesso com essa tática. De acordo com dados de avaliações de phishing realizadas pela Agência de Cibersegurança e de Segurança de Infraestrutura, 80% das organizações tinham pelo menos um funcionário que foi vítima de uma tentativa simulada de phishing.

O ransomware continua a impactar organizações de todos os tamanhos, em todos os setores e regiões geográficas. E embora a maioria dos líderes empresariais acredite que estão prontos para se defenderem contra o ransomware (78% dizem que estão “muito” ou “extremamente” preparados para mitigar a ameaça), metade foi vítima de um ataque de ransomware nos últimos 12 meses.

Três esforços de educação de funcionários para se proteger dos e-mails de phishing

Como a maior parte do ransomware é entregue por meio de phishing, a educação dos funcionários é essencial para proteger a sua organização contra essas ameaças. Dito isto, não existe um programa educacional único que sirva para todos – esses esforços de treinamento devem ser adaptados às necessidades exclusivas da sua empresa. Abaixo estão vários tipos de serviços e/ou programas projetados para ajudar os usuários a compreenderem e detectarem phishing e outras ameaças cibernéticas, os quais podem servir como um excelente ponto de partida para a construção de um programa abrangente de conscientização sobre segurança para os funcionários.

• Treinamento de conscientização sobre segurança: seus funcionários são alvos de alto valor para os agentes de ameaças. A implementação de um programa contínuo de educação sobre conscientização cibernética — que seja avaliado e atualizado com frequência para refletir a natureza mutável do cenário de ameaças — é uma parte crítica para manter sua organização segura. Esse tipo de serviço ajuda os líderes de TI, segurança e conformidade a construir uma cultura de consciência cibernética na qual os funcionários têm maior probabilidade de reconhecer e evitar serem vítimas de ataques. Como um bônus para as empresas com necessidades de conformidade, ele também ajuda a preencher os requisitos de treinamento de conformidade regulatória ou do setor.

 

• Serviços de simulação de phishing: entregar e-mails de phishing simulados aos funcionários da sua empresa permite que eles pratiquem a identificação de comunicações maliciosas para que saibam o que fazer quando um agente de ameaça atacar. Alguns serviços de simulação de phishing utilizam simulações do mundo real para ajudar as organizações a testarem a conscientização e a vigilância dos usuários em relação às ameaças de phishing e para treiná-los sobre quais etapas adotar quando suspeitarem que podem ser alvo de um ataque de phishing.

 

• Treinamentos gratuitos: há institutos ou organizações do setor de cibersegurança que oferecem módulos de treinamento gratuitos, on-line e individualizados para ajudar os usuários a aprenderem como identificar e se proteger de vários tipos de ameaças, incluindo ataques de phishing. Esses módulos podem ser adicionados a programas de treinamento internos existentes, o que otimiza os recursos internos e amplifica o poder de transformação da cultura organizacional.

Evolua o seu programa de conscientização sobre segurança para ficar à frente das ameaças

Tal como acontece com a introdução de qualquer nova tecnologia, os cibercriminosos encontrarão continuamente formas de utilizar estas ferramentas para fins nocivos. Isto exige que as nossas equipes de segurança e todos os funcionários da nossa empresa se tornem ainda mais diligentes na proteção contra ameaças. É por isso que é vital avaliar e evoluir o seu programa atual de conscientização cibernética, garantindo que os alunos tenham o conhecimento mais atualizado e relevante para mantê-los (e aos seus dados) seguros.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!