Baseado nos dados do simulador de phishing da plataforma de treinamento Kaspersky Security Awareness, os funcionários tendem a serem enganados por mensagens com temas do trabalho e notificações que informam um erro na entrega de correio. Dessas iscas que fingem ser ataques de phishing, a Kaspersky revela que quase um em cada 5 pessoas (16% a 18%) acabam clicando nos links.
De acordo com estimativas, 91% de todos os ciberataques começam com um e-mail de phishing, e esse golpe está envolvido em 32% de todas as violações de dados bem-sucedidas. Para explicar os perigos dessa ameaça, a Kaspersky analisou dados do seu simulador de phishing, fornecidos voluntariamente pelos usuários da plataforma1.
Este simulador faz parte da plataforma de treinamentos Kaspersky Security Awareness e ajuda as empresas a verificarem se as equipes conseguem distinguir um email fraudulento para evitar colocar em risco os dados corporativos. A ferramenta traz um conjunto de modelos de phishing para simular um ataque ou o administrador pode criar um e-mail personalizado, e depois a ferramenta faz o envio para os funcionários sem aviso prévio e o gestor pode acompanhar os resultados para avaliar a necessidade de complementar o treinamento de quem falhou no teste.
Segundo as simulações, os cinco tipos mais eficazes de e-mails falsos (phishing) usam as seguintes temáticas:
Falha na tentativa de entrega - infelizmente, não foi possível entregar seu artigo. Remetente: Serviço de entrega de correio. Conversão por clique: 18,5%.
E-mails não entregues devido a servidores de correio sobrecarregados. Remetente: A equipe de apoio da Google. Conversão por clique: 18%.
Assunto: Inquérito online aos funcionários: O que melhoraria em seu trabalho na empresa. Remetente: Departamento de RH. Conversão por clique: 18%.
Assunto: Lembrete: Novo código de vestuário para toda a empresa. Remetente: Recursos Humanos. Conversão por clique: 17,5%.
Assunto: Atenção a todos os colaboradores: novo plano de evacuação do edifício. Remetente: Departamento de Segurança. Conversão por clique: 16%.
[1] Estatísticas baseadas nos resultados de 29,597 colaboradores de 100 países. Nem todos os templates de phishing disponíveis foram enviados para cada colaborador. Os dados apresentados incluem templates enviados a mais de 100 utilizadores. As campanhas de simulação de phishing decorreram entre janeiro de 2021 e maio de 2022.
Por outro lado, os e-mails que ameaçam o destinatário ou que oferecem benefícios imediatos parecem ser menos convincentes. Um modelo com o tema "Eu pirateei o seu computador e conheço o seu histórico de pesquisa" teve 2% de taxa de clique, enquanto as ofertas de Netflix grátis e de dinheiro ($1.000) tiveram apenas 1%.
"Simular ataques de phishing é uma das formas mais simples de avaliar o conhecimento dos funcionários e saber se eles podem se proteger. No entanto, há aspectos significativos que devem ser considerados na realização desta avaliação para que tenha um impacto real", comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina. "Uma vez que os métodos utilizados pelos cibercriminosos estão em constante mudança, a simulação tem de refletir as táticas atuais de engenharia social, usando cenários comuns dos golpes. É crucial que os ataques simulados sejam realizados regularmente e complementados com treinamentos adequados -- para que as pessoas criem uma forte habilidade de vigilância para se proteger dos golpes online.”
Para prevenir violações de dados ou perdas financeiras e de reputação relacionadas a ataques de phishing, a Kaspersky faz as seguintes recomendações:
Ensine os seus funcionários os sinais básicos que indicam um e-mails de phishing: uma linha de assunto dramática, erros de digitação, endereços de remetente inconsistentes e ligações suspeitas.
Fale para os funcionários reportarem ataques de phishing. Ao detectar um ataque, informe o departamento de segurança/informática e, se possível, evite abrir a mensagem. Isto permitirá à sua equipe de segurança cibernética reconfigurar as políticas antispam e evitar um incidentes.
Treine todos os funcionários em segurança online básica. A educação deve ter como objetivo mudar o comportamento das pessoas e ensiná-los a lidar com as ameaças. Como grande fornecedor de cibersegurança, a Kaspersky possui uma base relevante de informação sobre ataques reais e complementa continuamente as suas formações de conscientização de segurança de acordo com o atual cenário de ameaças.
Uma vez que não há garantia de evitar todos os ataques, a empresa deve ter também uma solução de segurança que consiga bloquear ações maliciosos. A proteção antiphishing faz parte das melhores soluções de segurança, como no Kaspersky Endpoint Security Cloud.
