A análise da Verizon de 1.600 incidentes de segurança cibernética e 800 violações constatou que o phishing estava envolvido em 90% dos ataques bem-sucedidos. Apesar de anos de treinamento de conscientização sobre phishing, os funcionários ainda estão sendo enganados. A Verizon até incluiu uma seção no Relatório de Investigações de Violações de Dados(DBIR) deste ano chamada "Attack the Humans" (Ataque os Humanos). Por quê? Os humanos são seu elo mais fraco. Você pode criar uma nova regra para bloquear um ataque automatizado ao servidor de aplicativos Web, mas não pode eliminar a natureza humana.

Quem é o alvo? Todos.

Os ataques de engenharia social costumavam ser problema de outra pessoa, ou pelo menos era isso que muitas pessoas pensavam. Hoje, é problema de todos. A Verizon descobriu que todos os setores são altamente suscetíveis a esses ataques. Embora os funcionários de empresas de manufatura fossem os mais propensos a se tornarem vítimas, todos os setores apresentavam uma porcentagem significativa. Quando se leva em conta que basta um único funcionário ser enganado por um e-mail entre os muitos que pode receber em um ano, as porcentagens somam-se a essa probabilidade de mais de 60% de uma empresa se tornar vítima anualmente.

Muitos funcionários são vítimas várias vezes

Além de analisar os dados sobre violações, a Verizon também avaliou as taxas de sucesso do phishing em um estudo controlado. Para isso, a Verizon reuniu uma base de três milhões de usuários em 2.280 organizações. Em seguida, realizou 14.000 campanhas. Os resultados foram: “7,3% dos usuários de vários fornecedores de dados foram vítimas de phishing – seja por meio de um link ou de um anexo aberto… cerca de 15% de todos os usuários únicos que foram vítimas uma vez também morderam a isca uma segunda vez.”

Esses ataques simulados de phishing eram genéricos e não direcionados. Entretanto, os ataques de spear phishing mais personalizados têm uma taxa de sucesso cerca de nove vezes maior. Embora os dados compilados pela Verizon sugiram que 219.000 pessoas, de um total de três milhões de funcionários, caíram em um golpe de phishing genérico, pode-se esperar que esse número aumente para 1,8 milhão em ataques de spear phishing ou de engenharia social. A última abordagem exige mais esforço por parte do invasor, mas a recompensa pode ser grande. "Os dados deste ano apresentam vários incidentes envolvendo a representação de um executivo para enganar alguém a transferir dinheiro (às vezes, quantias de seis dígitos) das contas corporativas."

A Verizon chama esses ataques de engenharia social mais sofisticados de pretexting e diz que esses ataques são "quase sempre de natureza direcionada (e, portanto, mais da metade das marcas eram do departamento financeiro), o que significa que os atores estão fazendo suas pesquisas para identificar o funcionário certo e inventar uma história crível". Qual é o método preferido para iniciar o ataque? Você adivinhou. "O e-mail foi o principal vetor de comunicação, responsável por 88% dos incidentes de pretexto financeiro."

Firewalls humanos Firewalls funcionam. Você precisa de proteção automatizada

Os dados são consistentes. Os ataques por e-mail contra pessoas contornam as proteções da sua rede, e basta que um único funcionário caia na armadilha para que sua empresa fique comprometida. Não só 7% dos funcionários caem em ataques de phishing e mais de 60% caem em spear phishing, como também é possível constatar, a partir dos dados da Verizon, que um número significativo de funcionários será enganado uma segunda vez. É por isso que a proteção automatizada é tão importante.

Na Graphus, apoiamos o uso de treinamentos contra phishing e ferramentas como DMARC e SPF, mas também reconhecemos que essas medidas ainda permitem que um grande número de ataques contorne suas defesas. É aí que o Trust Graph implementado pela Graphus uma camada adicional de proteção e detecta ataques de engenharia social antes que um incidente ocorra.