Threats
Investigação da Sophos indica que grande parte dos colaboradores não está sensibilizado para as várias facetas de phishing, não tendo, inclusive, uma noção correta do conceito
01/09/2021
“O phishing apareceu já há mais de 25 anos e continua a ser uma técnica eficaz de ciberataque”, afirma Chester Wisniewski, Principal Research Scientist da Sophos, que lançou uma nova investigação – Phishing Insights 2021 – onde analisa a experiência e compreensão do phishing nas organizações a nível mundial, durante 2020. O inquérito, que contou com a participação de 5.400 decisores em trinta países, indica que os ataques de phishing dirigidos a organizações aumentaram consideravelmente durante a pandemia, com milhões de trabalhadores remotos como principal alvo. “Uma das razões para o sucesso do phishing é a sua capacidade de evolução e diversificação constante, adaptando os ataques a determinados assuntos ou preocupações, como é o caso da pandemia, e tirando partido das emoções e confiança humanas,” comentou Wisniewski. A grande maioria das equipas de IT (70%) afirmou que o número de emails de phishing recebidos pelos colaboradores aumentou em 2020, valor que aumentou para os 82% em organizações que sofreram ataques de ransomware durante o ano. “É uma tentação, para as organizações, ver os ataques de phishing como ameaças de baixo risco, o que subestima o seu poder”, porque “muitas vezes, o phishing é o primeiro passo de um ataque complexo e com diversas fases”, explica Wisniewski , acrescenta que “de acordo com o Sophos Rapid Response, os atacantes utilizam frequentemente emails de phishing para levar os utilizadores a instalar malware ou a partilhar credenciais que garantem acesso às redes corporativas”. A Sophos aconselha as empresas a adotarem estratégias que previnam que os emails de phishing cheguem ao destinatário e as soluções de segurança de email eficazes contribuem para tal. Contudo, devem ser complementadas com colaboradores preparados e atentos, capazes de detetar e reportar mensagens suspeitas. O Research Scientist da Sophos completa, dizendo que “a nossa equipa tem visto, em primeira mão, como emails aparentemente inócuos podem levar a ataques de ransomware multimilionários. Cryptojacking e roubo de dados – e até roubos monetários – são potenciais resultados de um ataque após o phishing ter aberto as portas ao inimigo”. A esmagadora maioria das organizações (90%) organiza programas de sensibilização de cibersegurança com foco nos ataques de phishing, mas, segundo indica a investigação, os programas devem considerar a grande variedade de conceitos comummente aceites e incluir formação para os colaboradores não-técnicos que aborde as diferentes facetas do phishing e dos ataques via email, na sua generalidade. O relatório indica, inclusivamente, que nem há consenso entre os profissionais de IT sobre a definição de phishing, sendo que a mais comum – 57% dos inquiridos – é a de “emails que alegam falsamente ser enviados por uma organização legítima, normalmente combinados com uma ameaça ou um pedido de informação”. Já 46% considera que os ataques de Business Email Compromise são phishing e 36% acredita que o threadjacking se deve, também, considerar phishing. |