A Proofpoint acaba de divulgar a nona edição do relatório State of the Phish, que incluiu o mercado brasileiro pela primeira vez. De acordo com o estudo, aproximadamente oito em cada 10 empresas brasileiras (78%) tiveram, ao menos, uma experiência de ataque de phishing por e-mail bem sucedido em 2022, e 23% sofreram perdas financeiras como resultado.
Embora os ransomware e os golpes de comprometimento de e-mail comercial (BEC) continuem sendo opções populares entre os cibercriminosos, o estudo mostrou que esses hackers ampliaram o uso de métodos de ataque menos familiares para se infiltrarem em organizações globais.
O relatório deste ano fornece uma visão detalhada das ameaças do mundo real, abrangendo mais de 18 milhões de e-mails relatados por usuários finais e 135 milhões de ataques de phishing simulados enviados durante o período de um ano. O relatório também examina as percepções de 7.500 funcionários e 1.050 profissionais de segurança em 15 países, revelando lacunas surpreendentes na conscientização sobre segurança e educação cibernética que propagam o cenário de ataques no mundo real.
Entre as principais descobertas do relatório estão:
A extorsão cibernética continua a causar estragos
58%das empresas brasileiras sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido. No entanto, apenas sete em cada 10 recuperaram o acesso aos seus dados depois de pagar resgate. De forma alarmante, 48% dos entrevistados brasileiros disseram que sua organização sofreram vários ataques de ransomware em períodos diferentes.
Durante estes ataques, 91% das organizações infectadas no Brasil pagaram, e muitas (29%) o fizeram mais de uma vez. Das organizações afetadas por ransomware no país, a esmagadora maioria (92%) tinha uma apólice de seguro cibernético para ataques de ransomware e a maioria das seguradoras estava disposta a pagar o resgate parcial ou integralmente (93%). Isso também explica a alta propensão a pagar, com 91% das organizações infectadas pagando pelo menos um resgate.
Usuários finais são vítimas de e-mails falsos da "Microsoft"
Em 2022, a Proofpoint observou quase 1.600 campanhas que envolveram o uso de marca em sua base global de clientes. Embora a Microsoft tenha sido a marca mais utilizada, com mais de 30 milhões de mensagens usando o seu nome ou apresentando um produto como Office ou OneDrive, outras empresas regularmente foram exploradas por criminosos cibernéticos, incluindo Google, Amazon, DHL, Adobe e DocuSign. Vale ressaltar que os ataques AitM exibiram a página de login real da organização para o usuário, que em muitos casos era o Microsoft 365.
Considerando o volume de ataques de personificação de marca, é alarmante que três em cada cinco (60%) funcionários brasileiros considerem que um e-mail é seguro quando contém uma marca familiar, 16 pontos acima da média global. Além disso, 80% acham que um endereço de e-mail sempre corresponde ao site proprietário da marca, 17 pontos a mais que a média global. Não é nenhuma surpresa ver que metade dos 10 modelos de simulação de phishing mais usados pelos clientes da Proofpoint estava relacionado à representação de marca, que também tendia a ter altas taxas de falha.
Comprometimento do e-mail comercial: a fraude cibernética se torna global
No ano passado, em média, mais da metade (56%) das organizações brasileiras relataram uma tentativa de ataque BEC, quando um cibercriminoso usa o e-mail de uma corporação para tentar induzir colaboradores e clientes a executarem uma determinada ação. Embora o inglês seja o idioma mais comum nesses casos, alguns países que não falam a língua estão começando a ver volumes maiores de ataques em seus próprios idiomas. Os ataques BEC foram maiores que a média global ou tiveram um aumento notável em comparação com 2021:
- Holanda 92% (não incluído na análise anterior)
- Suécia 92% (não incluído na análise anterior)
- Espanha 90% vs. 77% (aumento de 13 pontos percentuais)
- Alemanha 86% vs. 75% (aumento de 11 pontos percentuais)
- França 80% vs. 75% (aumento de 5 pontos percentuais)
Ameaças internas
O trabalho remoto junto à incerteza econômica pós-pandêmica, resultou em um grande número de trabalhadores mudando ou deixando de trabalhar, o que corresponde a cerca de um em cada quatro funcionários brasileiros nos últimos dois anos. Essa tendência do mercado torna a proteção de dados mais difícil para as organizações brasileiras, com 44% relatando que sofreram perda de dados devido à uma ação interna. Entre os que mudaram de emprego, quase metade (45%) admitiu levar dados consigo.
Hackers tornam ameaças de e-mail mais complexas
No ano passado, centenas de milhares de mensagens com ataques orientados por telefone (TOAD) e autenticação multifator (MFA) foram enviadas todos os dias — onipresentes o suficiente para ameaçar quase todas as organizações. A Proofpoint rastreou por dia mais de 600.000 ataques TOAD, e-mails que incitam os destinatários a iniciar uma conversa direta com os invasores por telefone por meio de falsos 'call centers', e o número tem aumentado constantemente desde que a técnica apareceu pela primeira vez no final de 2021.
Os cibercriminosos agora também têm vários métodos para contornar o MFA, já que muitos provedores de phishing-as-a-service já incluem ferramentas AitM em seus kits de phishing disponíveis no mercado.
Espaço para melhorias com a educação cibernética
Os hackers sempre inovam e, mais uma vez, o relatório deste ano mostrou que a maioria dos funcionários sofre com falhas de conscientização de segurança. O estudo revelou que mesmo as ameaças cibernéticas básicas ainda não são bem compreendidas – mais de um terço dos entrevistados não consegue definir "malware", "phishing" e "ransomware".
Apesar disso, 71% das organizações brasileiras afirmaram possuir um programa de conscientização de segurança e treinar toda a sua força de trabalho. Destas, apenas 31% realizam simulações de phishing – ambos componentes críticos para a construção de um programa de conscientização de segurança eficaz.
"A falta de conscientização e os comportamentos negligentes de segurança demonstrados pelos colaboradores criam riscos substanciais para as empresas e seus dados", complementa o vice-presidente. "Como o e-mail continua sendo o método de ataque preferido desses criminosos e eles se ramificam para técnicas muito menos familiares aos funcionários, há um valor claro na construção de uma cultura de segurança que abranja toda a organização."
Para baixar o relatório State of the Phish 2023 e ver a lista global e regional completa, acesse este link.
