Diversas pesquisas de mercado são unânimes ao afirmar que a principal fonte de golpes digitais é o e-mail com Phishing e muitas empresas não estão preparadas para lidar com suas peculiaridades.
Pesquisas estimam ainda que 90% de todas as violações de dados se originam de phishing e, de acordo com relatórios da APWG o número de marcas afetadas por fraudes continua crescendo a cada ano.
Nunca se investiu tanto em Cibersegurança na história. Empresas investem muito em ferramentas de proteção de rede e sistemas, no entanto, só o Brasil, sofreu mais de 88 Bilhões de tentativas de ataque em 2021 e muitas delas, infelizmente foram bem sucedidas pelo cibercrime.
Mas então, porque as empresas continuam sendo vítimas de phishing, mesmo investindo em segurança?
Estudos sugerem ainda que 45% dos usuários nas empresas nunca receberam treinamento sobre como lidar com links recebidos em e-mails.
Estes mesmos estudos revelam que 78% dos usuários clicaram nesses links, mesmo quando desconfiam de sua origem.
Apenas 17% dos usuários nas empresas sentem-se seguros quanto às suas habilidades de segurança da informação.
Mesmo usuários experientes têm dificuldade em identificar sites falsos e muitas vezes acabam errando ou sendo induzidos ao erro devido às técnicas de engenharia social aplicadas pelos criminosos.
Os crimes cibernéticos têm evoluído muito e estão cada vez mais organizados.
Entre os crimes mais comuns nos últimos anos como roubo de dados, sequestro de dados e ransomware, a técnica mais utilizada para ter acesso às informações e à rede da empresa é a técnica conhecida como “Engenharia Social”, e o método mais utilizado para acessar o usuário é o e-mail com Phishing.
Estudos realizados com usuários indicam que apenas 5% das pessoas têm capacidade técnica para realizar tarefas complexas ao computador.
Por isso, muitas empresas, mesmo com grandes investimentos em Segurança da informação acabam sendo vítimas de ransomware e outros tipos de golpe.
Estes golpes normalmente se iniciam em algum tipo de phishing que permite ao criminoso entrar na rede e a partir daí, buscar as vulnerabilidades.
Mas por que o ataque com Phishing funciona?
Quando falamos em Phishing de forma genérica, estão incluídas diferentes técnicas de golpes como Spear Phishing, Vishing, Smishing entre outros.
O usuário comum acaba caindo no golpe porque na maior parte das vezes, não está preparado para identificar uma fraude.
Essas fraudes são muito semelhantes às mensagens reais que o usuário normalmente recebe no exercício de seu trabalho e algumas vezes estão muito contextualizadas na rotina do usuário, o que dificulta a proteção.
As ferramentas tradicionais de proteção não estão preparadas para lidar com esta grande variedade de golpes e mesmo com um grande aparato de proteção, por parte das empresas, o usuário acaba sendo exposto a algumas ameaças que porventura burlam esses sistemas de cibersegurança.
Os motivos para essas ameaças passarem por estes sistemas são distintos e vão desde brechas em sistemas até vazamento de credenciais de acesso da empresa, que podem ser intencionais ou não.
Mas como eu protejo a minha empresa contra o Phishing?
O primeiro passo para se proteger é contratar uma solução de proteção para e-mails que seja efetiva e seja integrada com seu provedor de e-mails.
Se seus e-mails estão em um provedor externo como Microsoft 365 é importante que a proteção contratada esteja completamente integrada com a plataforma.
Não fique somente com a proteção padrão disponibilizada pelas plataformas de colaboração, pois embora a colaboração seja muito boa, essas plataformas não são focadas em ferramentas de segurança e resposta a incidentes. Existem diversos fabricantes que fornecem sistemas de proteção complementares para essas plataformas.
Para proteger o usuário deste tipo de golpe, é importante que os usuários tenham conhecimento, ferramentas e processos bem estruturados, além das seguintes recomendações de prevenção:
Faça testes simulando ataques de phishing para toda a empresa;
Crie um canal para os usuários reportarem os e-mails que eles consideram potencialmente perigosos. Isto ajuda a criar uma cultura de segurança na empresa;
Tenha um sistema ou programa de conscientização em cibersegurança que seja educativo e voltado para as os usuários;
Neste programa, é importante, no entanto, que estes usuários conheçam as ameaças e aprendam a identificá-las no seu dia a dia;
Avalie os resultados deste aprendizado e garanta que os usuários continuarão aprendendo e atualizados;
Busque ferramentas de aprendizagem continuada com técnicas de gamificação e engajamento que possam ajudar a manter os usuários interessados em aprender sobre o tema. Essas ferramentas ajudam muito a criar na empresa uma cultura de uso seguro de dispositivos e sistemas.
Conclusão
O Cibercrime evoluiu muito e cada vez mais, utiliza técnicas sofisticadas de engenharia social para enganar os usuários.
Lidar com estes ataques é muito difícil, pois envolvem tanto tecnologia quanto engenharia social.
As ferramentas tradicionais de proteção de rede como Firewall e Antivírus, não estão prontas para lidar com grande parte destes ataques.
As pessoas ainda são o maior diferencial das empresas e também o principal alvo do cibercrime, portanto, sua estratégia de proteção precisa contemplar as pessoas, além das ferramentas de tecnologia.
Comments