Relatório da Proofpoint mostra que os hackers ampliaram táticas para enganar funcionários das empresas em todo o mundo, em 2022
6 de março de 2023Aproximadamente, quarto das empresas brasileiras teve perdas financeiras devido a ataques de phishing no ano passado
A Proofpoint, Inc., empresa líder em cibersegurança e compliance, acaba de divulgar a nona edição do relatório State of the Phish, que incluiu o mercado brasileiro pela primeira vez.
De acordo com o estudo, aproximadamente oito em cada 10 empresas brasileiras (78%) tiveram, ao menos, uma experiência de ataque de phishing por e-mail bem sucedido em 2022, e 23% sofreram perdas financeiras como resultado.
Embora os ransomware e os golpes de comprometimento de e-mail comercial (BEC) continuem sendo opções populares entre os cibercriminosos, o estudo mostrou que esses hackers ampliaram o uso de métodos de ataque menos familiares para se infiltrarem em organizações globais.
O relatório deste ano fornece uma visão detalhada das ameaças do mundo real, abrangendo mais de 18 milhões de e-mails relatados por usuários finais e 135 milhões de ataques de phishing simulados enviados durante o período de um ano.
O relatório também examina as percepções de 7.500 funcionários e 1.050 profissionais de segurança em 15 países, revelando lacunas surpreendentes na conscientização sobre segurança e educação cibernética que propagam o cenário de ataques no mundo real.
“Embora o phishing convencional continue sendo bem-sucedido, muitos hackers migraram para técnicas mais novas, como ataques por telefone e sites de phishing implantados com o método adversário no meio (AitM), que contornam a autenticação multifator. Essas técnicas têm sido usadas há anos, mas em 2022 elas foram implantadas em grande escala”, disse Rogério Morais, vice-presidente da América Latina e Caribe.
“Também observamos um aumento acentuado em ataques de phishing multitoque, que envolve conversas mais longas com várias pessoas. Seja um grupo alinhado com o estado ou um golpista de Business Email Compromise (BEC), muitos cibercriminosos estão dispostos a esperar para conseguirem o que querem.”
Entre as principais descobertas do relatório estão:
A extorsão cibernética continua a causar estragos
58%das empresas brasileiras sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido.
No entanto, apenas sete em cada 10 recuperaram o acesso aos seus dados depois de pagar resgate. De forma alarmante, 48% dos entrevistados brasileiros disseram que sua organização sofreram vários ataques de ransomware em períodos diferentes.
Durante estes ataques, 91% das organizações infectadas no Brasil pagaram, e muitas (29%) o fizeram mais de uma vez.
Das organizações afetadas por ransomware no país, a esmagadora maioria (92%) tinha uma apólice de seguro cibernético para ataques de ransomware e a maioria das seguradoras estava disposta a pagar o resgate parcial ou integralmente (93%).
Isso também explica a alta propensão a pagar, com 91% das organizações infectadas pagando pelo menos um resgate.
Usuários finais são vítimas de e-mails falsos da “Microsoft”
Em 2022, a Proofpoint observou quase 1.600 campanhas que envolveram o uso de marca em sua base global de clientes.
Embora a Microsoft tenha sido a marca mais utilizada, com mais de 30 milhões de mensagens usando o seu nome ou apresentando um produto como Office ou OneDrive, outras empresas regularmente foram exploradas por criminosos cibernéticos, incluindo Google, Amazon, DHL, Adobe e DocuSign.
Vale ressaltar que os ataques AitM exibiram a página de login real da organização para o usuário, que em muitos casos era o Microsoft 365.
Considerando o volume de ataques de personificação de marca, é alarmante que três em cada cinco (60%) funcionários brasileiros considerem que um e-mail é seguro quando contém uma marca familiar, 16 pontos acima da média global.
Além disso, 80% acham que um endereço de e-mail sempre corresponde ao site proprietário da marca, 17 pontos a mais que a média global.
Não é nenhuma surpresa ver que metade dos 10 modelos de simulação de phishing mais usados pelos clientes da Proofpoint estava relacionado à representação de marca, que também tendia a ter altas taxas de falha.
Comprometimento do e-mail comercial: a fraude cibernética se torna global
No ano passado, em média, mais da metade (56%) das organizações brasileiras relataram uma tentativa de ataque BEC, quando um cibercriminoso usa o e-mail de uma corporação para tentar induzir colaboradores e clientes a executarem uma determinada ação.
Embora o inglês seja o idioma mais comum nesses casos, alguns países que não falam a língua estão começando a ver volumes maiores de ataques em seus próprios idiomas.
Os ataques BEC foram maiores que a média global ou tiveram um aumento notável em comparação com 2021:
Holanda 92% (não incluído na análise anterior)
Suécia 92% (não incluído na análise anterior)
Espanha 90% vs. 77% (aumento de 13 pontos percentuais)
Alemanha 86% vs. 75% (aumento de 11 pontos percentuais)
França 80% vs. 75% (aumento de 5 pontos percentuais)
Ameaças internas
O trabalho remoto junto à incerteza econômica pós-pandêmica, resultou em um grande número de trabalhadores mudando ou deixando de trabalhar, o que corresponde a cerca de um em cada quatro funcionários brasileiros nos últimos dois anos.
Essa tendência do mercado torna a proteção de dados mais difícil para as organizações brasileiras, com 44% relatando que sofreram perda de dados devido à uma ação interna.
Entre os que mudaram de emprego, quase metade (45%) admitiu levar dados consigo.
Hackers tornam ameaças de e-mail mais complexas
No ano passado, centenas de milhares de mensagens com ataques orientados por telefone (TOAD) e autenticação multifator (MFA) foram enviadas todos os dias — onipresentes o suficiente para ameaçar quase todas as organizações.
A Proofpoint rastreou por dia mais de 600.000 ataques TOAD, e-mails que incitam os destinatários a iniciar uma conversa direta com os invasores por telefone por meio de falsos ‘call centers’, e o número tem aumentado constantemente desde que a técnica apareceu pela primeira vez no final de 2021.
Os cibercriminosos agora também têm vários métodos para contornar o MFA, já que muitos provedores de phishing-as-a-service já incluem ferramentas AitM em seus kits de phishing disponíveis no mercado.
Espaço para melhorias com a educação cibernética
Os hackers sempre inovam e, mais uma vez, o relatório deste ano mostrou que a maioria dos funcionários sofre com falhas de conscientização de segurança.
O estudo revelou que mesmo as ameaças cibernéticas básicas ainda não são bem compreendidas — mais de um terço dos entrevistados não consegue definir “malware”, “phishing” e “ransomware”.
Apesar disso, 71% das organizações brasileiras afirmaram possuir um programa de conscientização de segurança e treinar toda a sua força de trabalho.
Destas, apenas 31% realizam simulações de phishing — ambos componentes críticos para a construção de um programa de conscientização de segurança eficaz.
“A falta de conscientização e os comportamentos negligentes de segurança demonstrados pelos colaboradores criam riscos substanciais para as empresas e seus dados”, complementa o vice-presidente.
“Como o e-mail continua sendo o método de ataque preferido desses criminosos e eles se ramificam para técnicas muito menos familiares aos funcionários, há um valor claro na construção de uma cultura de segurança que abranja toda a organização.”
Sobre a Proofpoint, Inc.
A Proofpoint, Inc. é uma empresa líder em cibersegurança e compliance que protege os maiores ativos e maiores riscos das organizações: suas pessoas.
Com um conjunto integrado de soluções baseadas em nuvem, a Proofpoint ajuda empresas de todo o mundo a interromper ameaças direcionadas, proteger seus dados e tornar seus usuários mais resilientes contra ataques cibernéticos.
Organizações líderes de todos os tamanhos, incluindo 75% da Fortune 100, contam com a Proofpoint para soluções de segurança e conformidade centradas em pessoas que mitigam seus riscos mais críticos em e-mail, nuvem, mídia social e web.
Hackers usam anúncios do Google para espalhar malware FatalRAT disfarçado de aplicativos populares
Confira cinco dicas da GoDaddy para ajudar a proteger as pequenas empresas de ataques de hackers
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.