Últimas notícias

Fique informado

Indústria Financeira Registra Aumento de Ataques Phishing

14 de dezembro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Cibercriminosos lançam novos ataques de phishing ligados à flexibilização ou ao isolamento social em cada região e país

Pesquisadores da Check Point atualizam os dados sobre as ciberameaças no período da pandemia, identificando queda de número de ataques relacionados à COVID-19 e a ascensão de outros temas como “Vidas Negras Importam”.

26 de junho de 2020

Maioria das ameaças em phishing visa o roubo de dados sensíveis armazenados na rede

O setor de serviços financeiros é, quase sempre, o destino preferido dos hackers devido à criticidade de suas informações. O Relatório de Riscos de Dados de Serviços Financeiros 2021, conduzido pela Varonis, pioneira em análise e segurança de dados, demonstra que a maior vulnerabilidade desse segmento é a grande quantidade de arquivos críticos abertos na rede, sem controle de acesso e configurações adequadas de segurança.

O estudo foi conduzido com cerca de 56 organizações financeiras de pequeno, médio e grande porte.

De acordo com a Febraban, Federação Brasileira de Bancos, instituições financeiras registraram, em 2020, um aumento de 80% de ataques do tipo phishing, termo usado para definir mensagens eletrônicas falsas que visam o roubo de dados financeiros.

O relatório da Varonis mostra que, nas grandes organizações financeiras, 20 milhões de arquivos não têm controle de acesso dos funcionários, ou seja, podem ser acessados por qualquer colaborador.

Esse índice tem crescido ainda mais com o aumento do trabalho remoto, em virtude do home-office adotado por boa parte das empresas desde o início da pandemia.

Portas de Entrada

Além das pastas armazenadas no diretório sem a implantação de privilégios de acesso, outro problema revelado são as senhas que nunca expiram, a migração para ambientes em nuvem e o ingresso inseguro aos servidores corporativos por meio de VPNs, redes privadas virtuais construídas sobre uma rede pública de comunicação.

A análise revela que 59% das instituições financeiras têm mais de 500 senhas que não são substituídas.

A maneira mais utilizada pelos atacantes para acessar um servidor sem ser detectado é por meio de contas fantasmas, aquelas que estão inativas, porém, não foram desabilitadas. O estudo descobriu mais de 10.000 ghost users em cerca de 40% dessas empresas.

Tais hábitos tornam os funcionários do setor alvos fáceis deste e outros tipos de ataques, como malwares e ransomwares. As equipes de TI trabalharam mais este ano para tentar bloquear acessos à distância e mitigar riscos de invasão.

No entanto, as indústrias financeiras continuam com cerca de 20 mil pastas expostas, sendo que 2% desses arquivos contêm informações confidenciais e pessoalmente identificáveis (PIl).

Sem uma solução de automação de segurança, o departamento de TI dessas organizações, seja ela de qualquer tamanho, levaria até 15 anos para corrigir as entradas manualmente, considerando que nenhuma pasta nova seja adicionada e que não haja paradas.

O combo que une contas de usuário obsoletas, acessos privilegiados com senhas que nunca expiram e pastas sem restrição dá aos hackers uma janela que sempre está aberta, através da qual eles podem roubar dados ou causar interrupções sem serem impedidos.

Carlos Rodrigues – Vice-presidente da Varonis

De acordo com Carlos Rodrigues, vice-presidente da Varonis, muitas empresas, principalmente as menores, consideram não serem relevantes para os criminosos cibernéticos. “Mas essas são as que mais se descuidam e ficam na mira dos ataques, principalmente por raramente utilizarem ferramentas e tecnologias adequadas para proteger os dados”, frisa o executivo.

Custos da Invasão de phishing

Se apenas um usuário clicar em um e-mail de phishing e produzir uma reação em cadeia, o tempo médio de resolução seria de oito meses, prazo mais que suficiente para prejudicar gravemente a reputação, a receita e a confiança do cliente.

E, quanto mais tempo a resposta a incidentes leva, maior é o prejuízo financeiro decorrente da invasão. O custo médio de uma violação de dados está entre as mais altas de qualquer setor, em 5,85 milhões de dólares.

Além dos prejuízos econômicos e de imagem, isso as colocaria em não-conformidade com regulamentos, como a GDPR (Regulamentação Europeia de Proteção de Dados), a LGPD, Lei Geral de Proteção de Dados do Brasil, a Sarbanes-Oxley (SOX) e, ainda, Leis de Privacidade do Consumidor, como é o caso de algumas cidades americanas.

As multas por descumprimento dessas regras são milionárias e podem alcançar 20 milhões de euros para a GDPR e R$ 50 milhões para a LGPD.

Em média, 70% de todos os dados confidenciais estão obsoletos. Se esses elementos forem mantidos além de um período de retenção predeterminado, expõem as instituições a riscos desnecessários, além de serem candidatas às sanções previstas pela legislação.

“A indústria financeira melhorou bastante em relação à maturidade de segurança. Contudo, como continuam sendo prioridade no plano de ação dos hackers, os investimentos não são suficientes para mitigar e prevenir esses ataques. É urgente e importante que elas olhem para a automação como aliada nesse processo de conformidade com as novas leis de proteção de dados pessoais”, conclui Rodrigues.

Kaspersky aponta que Brasil foi o quinto país com maior proporção de vítimas de phishing após pandemia

Brasil bate novo recorde no número de ataques de phishing já no primeiro trimestre de 2020

Sobre a Varonis

As soluções da Varonis protegem informações corporativas analisando a atividade de dados, telemetria de perímetro e comportamento do usuário; evita desastres bloqueando download de dados sensíveis e sustenta de forma eficiente uma rede de segurança automatizada.

Para saber mais sobre as soluções de segurança da Varonis, voltadas para detecção e proteção contra ameaças cibernéticas, acesse www.varonis.com

Phishing por meio de serviços de e-mail marketing