Credenciais roubadas de funcionários são uma das formas mais eficazes para invasores se infiltrarem na infraestrutura de uma empresa. Em 2022, o número de ataques de phishing móvel foi maior do que nunca.
Depois de ter as credenciais de qualquer uma das contas em mãos, é muito mais fácil contornar as medidas de segurança e obter acesso a dados confidenciais. Mas como os invasores obtêm essas credenciais? Em muitos casos, a resposta é phishing móvel. Um estudo global, “The Global State of Mobile Phishing Report” da Lookout descobriu que em 2022 o número de ataques de phishing móvel atingiu o maior nível histórico: um em cada três dispositivos pessoais e um em cada três dispositivos corporativos foi afetado por pelo menos um ataque suspenso a cada trimestre. Essa tendência continuou inabalável no primeiro trimestre de 2023.
Como o BYOD mudou o cenário do phishing
Ambientes de trabalho híbridos e políticas BYOD (traga seu próprio dispositivo) podem ser dois motivos para o aumento. As empresas tiveram que aceitar que os dispositivos móveis pessoais estão sendo cada vez mais usados para fins profissionais. No entanto, é importante lembrar que qualquer dispositivo móvel – pessoal ou corporativo, gerenciado ou não, iOS ou Android – é vulnerável a tentativas de phishing.
Smartphones e tablets tornaram mais fácil para os funcionários serem produtivos em qualquer lugar, mas também trouxeram novos desafios para as equipes de TI e segurança. As políticas de BYOD significam que mais pessoas do que nunca estão usando seus dispositivos pessoais para trabalhar. Isso significa que os riscos que eles enfrentam ao usar esses dispositivos para fins pessoais também representam riscos para a empresa. As equipes de TI e segurança também têm visibilidade significativamente menor desses dispositivos do que os dispositivos corporativos, o que significa que é mais difícil controlar esses riscos elevados.
Ataques direcionados aos dispositivos privados dos funcionários
Esses fatores significam que os invasores agora têm como alvo os dispositivos pessoais dos usuários para penetrar nos ambientes corporativos. Um funcionário pode ser vítima de um ataque de engenharia social por meio de canais privados, como mídia social, WhatsApp ou e-mail. Nesse caso, os invasores podem obter acesso às redes ou aos dados de seu empregador. Também não é um evento único, com dados da Lookout mostrando que, até 2022, mais de 50% dos dispositivos pessoais foram expostos a algum tipo de ataque de phishing móvel pelo menos uma vez por trimestre.
Milhões estão em jogo
Os dados não são a única coisa que as empresas arriscam quando os funcionários caem em um golpe de phishing. A Lookout estima que o impacto financeiro máximo de um ataque de phishing bem-sucedido aumentou para quase US$ 5.000 milhões em empresas com XNUMX funcionários. Setores altamente regulamentados, como seguros, bancários e jurídicos, são considerados os mercados mais lucrativos e são particularmente vulneráveis a ataques devido à grande quantidade de dados confidenciais que possuem.
Esses altos custos ocorrem em um momento em que os ataques de phishing estão em alta. Comparado a 2020, o número de ataques de phishing agora é 10% maior em dispositivos corporativos e 20% maior em dispositivos pessoais. Além disso, as pessoas estão clicando em links de phishing com mais frequência do que em 2020, o que pode significar que os invasores estão melhorando na criação de mensagens de aparência autêntica. Com mais riscos e mais dinheiro em jogo do que nunca, as organizações devem adaptar suas estratégias de segurança para proteger seus dados.
Proteja os dados contra ameaças de phishing móvel
O cenário de phishing móvel está mais traiçoeiro do que nunca, especialmente com o aumento do trabalho remoto. As equipes de TI e segurança devem empregar estratégias que lhes permitam visualizar, detectar e mitigar os riscos de dados apresentados por ataques de phishing em todos os dispositivos dos funcionários. Isso se aplica independentemente de os dispositivos serem de propriedade da empresa ou privados. Com a estratégia certa, baseada no princípio Zero Trust e SASE (Secure Access Service Edge), é possível tornar seguro o mundo do trabalho híbrido.
“A detecção de phishing no dispositivo e baseada em IA por meio de uma plataforma de segurança baseada em nuvem permite interromper os ataques onde eles começam. Uma solução de segurança como essa impede que os usuários se conectem a sites de phishing em dispositivos corporativos e pessoais”, disse Sascha Spangenberg, arquiteto global de soluções MSSP da Lookout. “Essa solução detecta e bloqueia ataques de phishing por meio de qualquer aplicativo móvel e impede que os funcionários revelem credenciais ou baixem software malicioso. A proteção contra ameaças de phishing móvel deve ser uma prioridade se o trabalho híbrido for uma realidade.”
Mais em Lookout.com
Sobre o Mirante Os cofundadores da Lookout, John Hering, Kevin Mahaffey e James Burgess, se uniram em 2007 com o objetivo de proteger as pessoas dos riscos de segurança e privacidade impostos por um mundo cada vez mais conectado. Mesmo antes de os smartphones estarem no bolso de todos, eles perceberam que a mobilidade teria um impacto profundo na maneira como trabalhamos e vivemos.