Baseado nos dados do simulador de phishing da plataforma de treinamento Kaspersky Security Awareness, os funcionários tendem a ser enganados por mensagens com temas do trabalho e notificações que informam um erro na entrega de correio. Dessas iscas, que fingem ser ataques de phishing, a Kaspersky revela que quase uma em cada cinco pessoas (16% a 18%) acaba clicando nos links.
De acordo com estimativas, 91% de todos os ciberataques começam com um e-mail de phishing, e esse golpe está envolvido em 32% de todas as violações de dados bem-sucedidas. Para explicar os perigos dessa ameaça, a Kaspersky analisou dados do seu simulador de phishing, fornecidos voluntariamente pelos usuários da plataforma*.
Este simulador faz parte da plataforma de treinamentos Kaspersky Security Awareness e ajuda as empresas a verificarem se as equipes conseguem distinguir um e-mail fraudulento para evitar colocar em risco os dados corporativos. A ferramenta traz um conjunto de modelos de phishing para simular um ataque ou o administrador pode criar um e-mail personalizado, e depois a ferramenta faz o envio para os funcionários sem aviso prévio e o gestor pode acompanhar os resultados para avaliar a necessidade de complementar o treinamento de quem falhou no teste.
Segundo as simulações, os cinco tipos mais eficazes de e-mails falsos (phishing) usam as seguintes temáticas:
- Falha na tentativa de entrega – infelizmente, não foi possível entregar seu artigo. Remetente: Serviço de entrega de correio. Conversão por clique: 18,5%.
- E-mails não entregues devido a servidores de correio sobrecarregados. Remetente: A equipe de apoio da Google. Conversão por clique: 18%.
- Assunto: Inquérito on-line aos funcionários: O que melhoraria em seu trabalho na empresa. Remetente: Departamento de RH. Conversão por clique: 18%.
- Assunto: Lembrete: Novo código de vestuário para toda a empresa. Remetente: Recursos Humanos. Conversão por clique: 17,5%.
- Assunto: Atenção a todos os colaboradores: novo plano de evacuação do edifício. Remetente: Departamento de Segurança. Conversão por clique: 16%.
Por outro lado, os e-mails que ameaçam o destinatário ou que oferecem benefícios imediatos parecem ser menos convincentes. Um modelo com o tema “Eu pirateei o seu computador e conheço o seu histórico de pesquisa” teve 2% de taxa de clique, enquanto as ofertas de Netflix grátis e de dinheiro ($1.000) tiveram apenas 1%.
“Simular ataques de phishing é uma das formas mais simples de avaliar o conhecimento dos funcionários e saber se eles podem se proteger. No entanto, há aspectos significativos que devem ser considerados na realização desta avaliação para que tenha um impacto real”, comenta o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini. “Uma vez que os métodos utilizados pelos cibercriminosos estão em constante mudança, a simulação tem de refletir as táticas atuais de engenharia social, usando cenários comuns dos golpes. É crucial que os ataques simulados sejam realizados regularmente e complementados com treinamentos adequados para que as pessoas criem uma forte habilidade de vigilância para se proteger dos golpes on-line”, finaliza.
Para prevenir violações de dados ou perdas financeiras e de reputação relacionadas a ataques de phishing, a Kaspersky faz as seguintes recomendações:
- Ensine os seus funcionários os sinais básicos que indicam um e-mails de phishing: uma linha de assunto dramática, erros de digitação, endereços de remetente inconsistentes e ligações suspeitas.
- Fale para os funcionários reportarem ataques de phishing. Ao detectar um ataque, informe o departamento de segurança/informática e, se possível, evite abrir a mensagem. Isto permitirá à equipe de segurança cibernética reconfigurar as políticas antispam e evitar um incidentes.
- Treine todos os funcionários em segurança on-line básica. A educação deve ter como objetivo mudar o comportamento das pessoas e ensiná-las a lidar com as ameaças. Como grande fornecedor de cibersegurança, a Kaspersky possui uma base relevante de informação sobre ataques reais e complementa continuamente as suas formações de conscientização de segurança de acordo com o atual cenário de ameaças.
- Uma vez que não há garantia de evitar todos os ataques, a empresa deve ter também uma solução de segurança que consiga bloquear ações maliciosas.
*Estatísticas baseadas nos resultados de 29,597 colaboradores de 100 países. Nem todos os templates de phishing disponíveis foram enviados para cada colaborador. Os dados apresentados incluem templates enviados a mais de 100 utilizadores. As campanhas de simulação de phishing decorreram entre janeiro de 2021 e maio de 2022.
Foto: Divulgação.
