Confira o levantamento feito pela Proofpoint com as principais táticas e possíveis cenários de atuação de atividades de phishing
Os ataques de phishing parecem uma tática relativamente simples por parte dos cibercriminosos. Configurar uma página da Web de phishing, criar um e-mail de phishing, enviar o e-mail para os destinatários desejados e esperar que as credenciais sejam roubadas e outras informações comprometidas.
Na ponta receptora, uma campanha de phishing bem-sucedida pode prejudicar uma empresa de várias maneiras. Um relatório divulgado recentemente pela Proofpoint analisa o impacto de um ataque de phishing e oferece dicas sobre como combatê-lo. Para seu ” relatório do estado de phishing de 2021 ” (https://www.proofpoint.com/us/resources/threat-reports/state-of-phish) , a Proofpoint coletou dados de várias fontes:
- uma pesquisa de terceiros com 3.500 adultos que trabalham nos EUA, Reino Unido, Austrália, França, Alemanha, Japão e Espanha;
- uma pesquisa de terceiros com 600 profissionais de TI nos mesmos países;
- mais de 60 milhões de ataques de phishing simulados implantados por clientes da Proofpoint para treinamento interno; e
- mais de 15 milhões de e-mails de phishing relatados por usuários finais.
2020 viu um ligeiro aumento nos ataques de phishing entre os clientes da Proofpoint. Cerca de 57% disseram que sua organização foi atingida por um ataque bem-sucedido no ano passado, contra 55% em 2019. Mais de 75% dos entrevistados disseram ter enfrentado ataques de phishing de ampla base – bem-sucedidos e mal sucedidos – em 2020.
Um ataque de phishing bem-sucedido pode impactar uma organização de várias maneiras. A perda de dados foi o maior efeito colateral, citado por uma média de 60% entre os pesquisados. Contas ou credenciais comprometidas foi o segundo maior efeito, mencionado por 52% dos entrevistados. Os resultados adicionais de um ataque de phishing incluíram infecções de ransomware, conforme citado por 47%, outras infecções de malware por 29% e perda financeira ou fraude de transferência eletrônica por 18%.
Além dos ataques de phishing baseados em e-mail, os cibercriminosos gostam de empregar outras táticas. Alguns usam mídia social, alguns usam mensagens de texto e alguns usam correio de voz. No ano passado, 61% dos entrevistados foram atingidos por ataques de mídia social, 61% por ataques de smishing (phishing de SMS) e 54% por ataques de vishing (phishing de voz).
Para ajudar sua organização e seus funcionários a impedir campanhas de phishing, a Proofpoint oferece algumas sugestões:
Combinar inteligência de ameaças e treinamento de conscientização de segurança
A maioria das organizações pesquisadas para o relatório usam inteligência de ameaças para informar suas decisões de treinamento. Para aproveitar as vantagens da inteligência de ameaças, as organizações devem treinar os usuários em tópicos relacionados a ataques conhecidos à organização, criar testes de phishing que imitem ameaças de tendências e fornecer treinamento específico para pessoas que estão sendo alvo de certos tipos de ataques.
Correlacionar atividades de conscientização e treinamento com funções de segurança
Os programas de treinamento de conscientização sobre segurança geralmente funcionam independentemente de outros programas. Idealmente, todas as funções de segurança relacionadas ao usuário devem se cruzar e informar. Considere vincular o treinamento de senha a métricas. Procure rastrear violações de prevenção de perda de dados juntamente com atividades de treinamento de segurança de dados.
Esses esforços podem criar uma abordagem de segurança mais orientada para resultados, mostrar aos usuários como seu comportamento tem impacto na segurança e fornecer ao seu CISO dados mensuráveis e acionáveis sobre os efeitos da sua equipe na postura geral de segurança da sua organização.
