Phishing fez empresas brasileiras perderem dinheiro em 2022
E-mail continua sendo o método de ataque preferido dos criminosos, revela estudo da Proofpoint
Apesar de antigos no cenário da cibersegurança, os ataques phishing ainda continuam a fazer vítimas entre as empresas. O estudo “State of the Phish“, realizado pela Proofpoint, descobriu que cerca de oito em cada 10 empresas brasileiras (78%) tiveram, ao menos, uma experiência de ataque de phishing por e-mail bem sucedido em 2022. Dessas, 23% sofreram perdas financeiras.
O relatório abrange mais de 18 milhões de e-mails relatados por usuários finais e examina as percepções de 7.500 funcionários e 1.050 profissionais de segurança em 15 países, incluindo o Brasil. O estudo, no entanto, alerta para novos métodos de ataque que buscam maior rentabilidade para os atacantes.
“Embora o phishing convencional continue sendo bem-sucedido, muitos hackers migraram para técnicas mais novas, como ataques por telefone e sites de phishing implantados com o método adversário no meio (AitM), que contornam a autenticação multifator. Essas técnicas têm sido usadas há anos, mas em 2022 elas foram implantadas em grande escala”, disse Rogério Morais, vice-presidente da América Latina e Caribe. “Também observamos um aumento acentuado em ataques de phishing multitoque, que envolve conversas mais longas com várias pessoas. Seja um grupo alinhado com o estado ou um golpista de Business Email Compromise (BEC), muitos cibercriminosos estão dispostos a esperar para conseguirem o que querem.”
Empresas optam por pagar resgate
De acordo com o estudo, 58% das empresas brasileiras sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido. De forma alarmante, 48% dos entrevistados brasileiros disseram que sua organização sofreram vários ataques de ransomware em períodos diferentes.
Durante estes ataques, 91% das organizações infectadas no Brasil pagaram o pedido de resgate, e muitas (29%) o fizeram mais de uma vez. No entanto, pagar o resgate não oferece nenhuma garantia, já que apenas sete em cada 10 recuperaram o acesso aos seus dados.
Leia também: EUA anunciam estratégia de segurança digital com regras mais rígidas
Das organizações afetadas por ransomware no país, a esmagadora maioria (92%) tinha uma apólice de seguro cibernético para ataques de ransomware e a maioria das seguradoras estava disposta a pagar o resgate parcial ou integralmente (93%). Isso também explica a alta propensão a pagar, com 91% das organizações infectadas pagando pelo menos um resgate.
Microsoft é mais “visada” para lançar phishing
O estudo da Proofpoint observou que a Microsoft foi a marca mais utilizada em 2022 para lançar tentativas de golpes contra usuários finais. Foram quase 1.600 campanhas observadas na base da Proofpoint que envolveram o nome da empresa. Mais de 30 milhões de mensagens usaram o nome da Microsoft ou um produto da empresa para chamar a atenção das vítimas. Outras gigantes do setor como Google, Amazon, Adobe e Docusign também foram utilizadas como isca.
O estudo alerta para o fato de que os ataques que utilizam a personificação de uma marca podem fazer estragos ainda maiores no Brasil. Três em cada cinco (60%) funcionários brasileiros considerem que um e-mail é seguro quando contém uma marca familiar, 16 pontos acima da média global. Além disso, 80% acham que um endereço de e-mail sempre corresponde ao site proprietário da marca, 17 pontos a mais que a média global.
Ameaças de e-mail estão mais complexas
No ano passado, centenas de milhares de mensagens com ataques orientados por telefone (TOAD) e autenticação multifator (MFA) foram enviadas todos os dias. Segundo o estudo, elas se tornaram onipresentes o suficiente para ameaçar quase todas as organizações.
A Proofpoint rastreou por dia mais de 600.000 ataques TOAD, e-mails que incitam os destinatários a iniciar uma conversa direta com os invasores por telefone por meio de falsos ‘call centers’, e o número tem aumentado constantemente desde que a técnica apareceu pela primeira vez no final de 2021.
Os cibercriminosos agora também têm vários métodos para contornar o MFA, já que muitos provedores de phishing-as-a-service já incluem ferramentas AitM em seus kits de phishing disponíveis no mercado.
Educação cibernética
O relatório chama atenção para a constante inovação dos hackers. Em contrapartida, as empresas têm falhado em conscientizar melhor seus funcionário das ameaças.
O estudo revelou que mesmo as ameaças cibernéticas básicas ainda não são bem compreendidas – mais de um terço dos entrevistados não consegue definir “malware”, “phishing” e “ransomware”. Apesar disso, 71% das organizações brasileiras afirmaram possuir um programa de conscientização de segurança e treinar toda a sua força de trabalho. Destas, apenas 31% realizam simulações de phishing – ambos componentes críticos para a construção de um programa de conscientização de segurança eficaz.
“A falta de conscientização e os comportamentos negligentes de segurança demonstrados pelos colaboradores criam riscos substanciais para as empresas e seus dados”, complementa Morais. “Como o e-mail continua sendo o método de ataque preferido desses criminosos e eles se ramificam para técnicas muito menos familiares aos funcionários, há um valor claro na construção de uma cultura de segurança que abranja toda a organização.”