Simulações de phishing: funcionários não vigilantes o suficiente

27. julho 2022
| Sem comentários
Simulações de phishing: funcionários não vigilantes o suficiente

Compartilhar postagem

Os funcionários não estão vigilantes o suficiente ao receber e-mails. Uma análise atual da Kaspersky sobre simulações de phishing em empresas [1] mostra que muitos funcionários geralmente não percebem armadilhas ocultas em assuntos da empresa e notificações sobre supostos problemas de entrega em e-mails.

Quase um em cada cinco clicou no link nos modelos de e-mail que imitavam esse tipo de ataque de phishing. Outros e-mails de phishing comuns, que anunciam que o próprio computador foi hackeado ou prometem lucro, dificilmente são bem-sucedidos com uma conversão de cliques de um a dois por cento.

9 em cada 10 ataques começam por phishing

Estima-se que nove em cada dez ataques cibernéticos (91 por cento) comecem com um e-mail de phishing; As técnicas de phishing estão implicadas em dois terços de todas as violações de dados bem-sucedidas (32%) [2].

Para obter mais informações sobre essa ameaça, os especialistas da Kaspersky coletaram e analisaram dados de um simulador de phishing fornecido voluntariamente pelos usuários. Integrada à Kaspersky Security Awareness Platform [3], essa ferramenta ajuda as organizações a verificar se os funcionários podem identificar um e-mail de phishing sem comprometer os dados corporativos. Um administrador seleciona a partir de um conjunto de modelos que imitam cenários comuns de phishing ou cria um modelo personalizado e, em seguida, envia-o para o grupo selecionado de funcionários sem avisar e rastreia os resultados. Um grande número de usuários clicando no link mostra que é necessário treinamento adicional em segurança cibernética.

As cinco linhas de assunto mais eficazes em e-mails de phishing

  • "Falha na tentativa de entrega - Infelizmente, nosso correio não conseguiu entregar seu item" supostamente de um serviço de entrega postal: conversão de cliques de 18,5%
  • "E-mails não foram entregues porque o servidor de correio estava sobrecarregado" Supostamente da equipe de suporte do Google: conversão de cliques de 18%
  • "Pesquisa online com funcionários: o que você melhoraria em trabalhar na empresa?" Supostamente do departamento de RH: conversão de cliques de 18%
  • "Lembrete: Novo código de vestimenta para toda a empresa" Supostamente do departamento de RH: conversão de cliques de 17,5%
  • "Atenção a todos os funcionários: Plano de evacuação para o novo prédio" supostamente do departamento de segurança: conversão de cliques de 16 por cento

Ganchos mais eficazes para e-mails de phishing

  • Confirmações de reserva de um serviço de reservas (11 por cento)
  • Notificações de colocação de pedidos (11 por cento)
  • Anunciar uma competição IKEA (10 por cento)

E-mails que ameaçam o destinatário ou prometem benefícios imediatos parecem ser menos "bem-sucedidos". Um modelo com o assunto “Eu invadi seu computador e conheço seu histórico de pesquisa” clicou apenas dois por cento dos usuários, ofertas de Netflix grátis e US $ 1.000 apenas um por cento.

“A simulação de phishing é uma das maneiras mais fáceis de verificar a resiliência cibernética dos funcionários e avaliar a eficácia de seu treinamento em segurança cibernética. No entanto, existem aspectos importantes que devem ser levados em consideração ao implementá-lo para que seja realmente eficaz”, explica Christian Milde, diretor administrativo da Kaspersky para a Europa Central. "Como os criminosos cibernéticos estão constantemente adaptando seus métodos, a simulação deve refletir as tendências atuais de engenharia social, além dos cenários comuns de crimes cibernéticos. É crucial que ataques simulados sejam realizados regularmente e complementados com treinamento apropriado. Dessa forma, os usuários desenvolvem uma forte consciência que lhes permite evitar serem enganados por ataques direcionados ou spear phishing”.

Recomendações da Kaspersky para proteção contra ataques de phishing

  • Informe regularmente os funcionários sobre as características básicas dos e-mails de phishing [4], como uma linha de assunto alarmante, erros e erros de digitação, endereços de remetentes conflitantes e links suspeitos.
  • Se houver alguma dúvida sobre o e-mail recebido, o formato dos anexos e a precisão do link devem ser verificados antes de clicar. Passar o mouse sobre esses itens pode garantir que o endereço pareça autêntico e que os arquivos anexados não estejam em um formato executável.
  • Os ataques de phishing devem sempre ser relatados ao departamento de segurança de TI. Isso permite que a equipe de segurança cibernética reconfigure as políticas anti-spam e evite um incidente.
  • Os funcionários devem ser regularmente treinados em segurança cibernética. Treinamentos como o Kaspersky Security Awareness Training [5] visam mudar o comportamento dos alunos e ensiná-los a lidar com ameaças.
  • Como as tentativas de phishing podem ser confusas e não há garantia de evitar todos os cliques não intencionais, todos os dispositivos devem ser protegidos com uma solução confiável como o Kaspersky Small Office Security [6]. As soluções correspondentes oferecem funções anti-spam, rastreiam comportamentos suspeitos e criam backups em caso de ataques de ransomware.
[1] As estatísticas são baseadas nos resultados de 29.597 funcionários de 100 países. Nem todos os modelos de phishing disponíveis foram enviados a todos os funcionários. Os dados apresentados incluem modelos enviados para mais de 100 usuários. As campanhas de simulação de phishing ocorreram entre janeiro de 2021 e maio de 2022.
[2] https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[4] https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
[5] https://www.kaspersky.de/enterprise-security/security-awareness
[6] https://www.kaspersky.de/small-business-security/small-office-security

 

Mais em Kaspersky.com

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Kaspersky, Stories
, , , , ,