Ataques de phishing bem-sucedidos estão aumentando rapidamente, assim como a variedade de formas que eles assumem.
Milhões de usuários em todo o mundo são colocados em risco todos os dias (bem, a cada 30 segundos para ser exato). Simplificando - os cibercriminosos estão evoluindo, assim como suas técnicas.
Mas não é apenas o seu esquema de phishing tradicional que está afetando uma série de empresas - o spear phishing e a fraude de CEO agora oferecem um escopo de ataque muito mais prejudicial. Sem dúvida, os tomadores de decisão de TI estão se contorcendo com a possibilidade de se tornarem mais uma história no livro interminável de violações.
Mas o que torna esses ataques de phishing tão bem-sucedidos? Bem, de acordo com um relatório da Osterman Research, existem 6 fatores principais para culpar ...
A maior porta que se abre para os cibercriminosos é, sem dúvida, aquela etiquetada com "sensibilização para a segurança". Mais especificamente, a falta de treinamento de funcionários com foco em questões como phishing e ransomware é a principal razão para esses ataques serem tão bem-sucedidos.
Na verdade, Osterman afirma que 6% dos usuários nunca receberam treinamento de conscientização sobre segurança. Isso é bastante prejudicial quando se trata da confiança e da capacidade de um funcionário de reconhecer ataques de phishing e agir de maneira adequada. Os usuários devem ser treinados para serem cautelosos com qualquer e-mail inesperado e qualquer um dos golpes que possam enfrentar em várias plataformas.
O uso e a notoriedade da Dark Web reduziram o valor comercial dos dados roubados. O preço de um registro de cartão de pagamento caiu de US $ 25 em 2011 para US $ 6 em 2016, o que significa que os criminosos cibernéticos tiveram que adaptar seu foco a novas formas de ganhar o tipo de dinheiro que ganhavam no passado.
Conseqüentemente, a natureza frutífera dos detentores de informações é a área para a qual eles agora estão se voltando. Ataques como ransomware, em que os detentores de informações têm medo de perder seus dados, significam que as vítimas não pensariam duas vezes antes de pagar as demandas do criminoso.
As empresas simplesmente não estão fazendo o suficiente para reduzir os riscos associados a phishing e software malicioso. Há uma falta de processos de backup adequados, bem como uma incapacidade de identificar os usuários mais fracos que precisam de mais treinamento.
Além disso, muitas vezes faltam processos de controle interno fortes, como uma confirmação dupla para qualquer solicitação de transferência bancária (o que pode ser fundamental para evitar a fraude do CEO). Negligenciar esses processos é jogar diretamente nas mãos de algumas das técnicas fraudulentas mais comuns.
Você sabia...
O custo médio de um ataque de phishing para empresas de médio porte é de US $ 1,6 milhão.
Muitos cibercriminosos têm acesso a grandes fundos, ampliando sua capacidade de aprimorar suas habilidades técnicas e permitir ataques de phishing mais sofisticados.
Na verdade, afirma-se que alguns cibercriminosos podem ganhar até US $ 7.500 por mês com seus esquemas prejudiciais e que a indústria agora é mais lucrativa do que o comércio de drogas.
A disponibilidade de kits de phishing e a ascensão do ransomware-as-a-service (RaaS) deram aos aspirantes a hackers uma oportunidade fácil de entrar no mercado e competir com organizações criminosas sofisticadas.
A parte mais preocupante dessa tendência crescente é que mesmo as pessoas com pouca ou nenhuma experiência em TI estão colhendo os frutos dessas ferramentas fáceis de usar. Com esse tipo de potencial de ganho, não é difícil ver por que os criminosos são atraídos para o negócio lucrativo.
A velha (mas ainda muito eficaz) técnica de induzir os usuários a clicar em links maliciosos logo será ofuscada por táticas muito mais astutas e difíceis de evitar.
Certamente não há muita pressa para sair das técnicas de malware atuais, embora muitos tenham previsto que este ano veremos o desenvolvimento de novas ameaças, como “ransomworms” (ransomware auto-replicante).
Agora é a hora de lutar contra ataques de phishing e ransomware com uma abordagem coesa
A chave para prevenir esses ataques, aumentar a consciência do funcionário sobre o phishing ou mitigar sua magnitude, é encontrada no desenvolvimento de uma estratégia coesa que engloba pessoas, processos e tecnologia:
usecure é a solução de Gerenciamento de Risco Humano (GRM) que capacita as empresas a reduzir os incidentes de segurança relacionados ao usuário, construir uma força de trabalho ciber-resiliente e atingir padrões de conformidade através de programas automatizados de treinamento de usuários.
Com a confiança dos principais profissionais de TI e provedores de serviços gerenciados (MSPs), usecure análisa, reduz e monitora o risco cibernético humano através de programas de treinamento de conscientização de segurança orientados a riscos, campanhas de phishing simuladas, gerenciamento de políticas simplificado e monitoramento contínuo de violação da dark web - tudo em uma plataforma.