Pesquisa mostra que phishing continua em alta, mas educação pode resolver

Links maliciosos conseguem atrair colaboradores, mas é possível reverter tal cenário transformando as vítimas em sensores

iStock-637737952.jpg

Recentemente, a operadora estadunidense Verizon divulgou a edição 2018 de seu Relatório de Investigações em Vazamento de Dados. As estatísticas presentes no documento, infelizmente, são preocupantes. A companhia descobriu que, na maioria das empresas, 4% dos funcionários possivelmente vão clicar em “qualquer campanha de phishing” que eles receberem, incluindo aquelas que prometem itens de graça e barganhas imperdíveis.

Esse número pode parecer baixo? Pode. Mas é importante lembrar que um único clique no link errado pode ser o suficiente para comprometer toda a sua organização, gerar vazamentos, infectar máquinas e assim por diante. Além disso, é válido ressaltar que a taxa média de cliques em campanhas de marketing legítimas é de aproximadamente 2% — ou seja, os golpes são bem mais sedutores para os internautas do que newsletters reais.

Isso transforma o email em um dos principais vetores para ameaças cibernéticas modernas — um quarto dos scripts maliciosos detectados pela provedora eram ransomwares, ou seja, aqueles malwares que criptografam todos os arquivos da máquina (ou de uma rede, caso existam vários PCs conectados uns aos outros) e requisitam o pagamento de um resgate para devolver aqueles arquivos importantes.

A Verizon também percebeu, em seu relatório anual, que a maioria das ameaças são direcionadas a grandes empresas (que, graças ao GDPR, têm mais medo do que nunca de ter informações sensíveis comprometidas) e agências governamentais (que possuem um volume inestimável de dados secretos e valiosos, cujo comprometimento pode levar a consequências a nível federal).

 

Quando o risco vira um escudo

 

Porém, por mais que tal situação possa parecer desesperadora, há uma forma simples de revertê-la: transformando as suas fraquezas em suas vantagens. Ao treinar seus funcionários para que eles deixem de ser vítimas e se transformem em sensores capazes de reconhecer eventuais ataques cibernéticos contra a sua empresa, fica muito mais fácil evitar infecções e vazamentos de dados sensíveis.

Algumas agências governamentais, por exemplo, costumam aplicar um treino bem básico de segurança cibernética para os recém-chegados, mas reservam de cinco a dez minutos para falar sobre phishing. Isso, obviamente, não é o suficiente. É necessário investir em conscientização para que todos sejam capazes de “ligar o alerta vermelho” caso identifiquem alguma das principais características do spam, reportando à equipe de TI.

Enviar mensagens em tom de urgência, por exemplo, é uma tática muito comum utilizada pelo criminosos cibernéticos na hora de tentar fisgar suas vítimas. Sendo assim, emails que prometem promoções “imperdíveis”, “por tempo limitado” e “só por hoje” já merecem uma atenção um pouco maior. Curiosamente, de acordo com um relatório da Cofense, os assuntos mais usados nesses scams são “Café Grátis” e “Entrega de Encomenda”.

A partir do momento em que todos os colaboradores estejam educados e alinhados com as políticas de segurança da empresa, o número de incidentes cibernéticos envolvendo phishing podem ser reduzidos drasticamente — desde que a campanha de conscientização seja feita de forma eficiente, é claro. E, para isso, você pode contar com a ajuda dos especialistas da Flipside!

Anderson RamosPhishing, conscientização, Flipside, CibercrimeComment