Após uma simulação de phishing com treineiros, os dados do simulador de phishing da Kaspersky Security Awareness Platform — empresa russa que constrói softwares de segurança e treina colaboradores — mostraram que os funcionários tendem a não perceber armadilhas ocultas em e-mails dedicados a problemas corporativos e notificações de problemas de entrega. Quase um em cada cinco (16% a 18%) clicou no link nos modelos de e-mail imitando esses ataques de phishing.
O phishing é uma engenharia social que simula perfis e comportamentos legítimos na internet, como a imitação de um parente próximo ou até mesmo de um perfil oficial de uma rede bancária, e assim, é utilizada para aplicar golpes ao obter informações pessoais e dados sigilosos de usuários.
##RECOMENDA##No Brasil, foram mais de 150 milhões de vítimas do phishing, golpe virtual que engana as vítimas com sites e aplicativos falsos que se passam por empresas ou pessoas famosas, apenas em 2021. A estimativa foi divulgada pelo dfndr lab, laboratório especializado em cibersegurança da PSafe, em outubro; ou seja, foi um número parcial.
Simulação da Kaspersky
De acordo com estimativas, 91% de todos os ataques cibernéticos começam com um e-mail de phishing, e as técnicas de phishing estão envolvidas em 32% de todas as violações de dados bem-sucedidas.
Para fornecer mais informações sobre essa ameaça, a Kaspersky analisou dados coletados de um simulador de phishing, fornecidos voluntariamente pelos usuários. Integrada à Kaspersky Security Awareness Platform, essa ferramenta ajuda as empresas a verificar se sua equipe consegue distinguir um e-mail de phishing de um real sem colocar os dados corporativos em risco.
Um administrador escolhe a partir do conjunto de modelos, imitando cenários comuns de phishing, ou cria um modelo personalizado e o envia ao grupo de funcionários sem pré-avisá-los e rastreia os resultados. Um grande número de usuários clicando no link é uma indicação clara de que é necessário um treinamento adicional de conscientização sobre segurança cibernética.
Segundo campanhas recentes de simulação de phishing, os cinco tipos mais eficazes de e-mail de phishing são:
- Assunto: Tentativa de entrega falhada - Infelizmente, o nosso estafeta não conseguiu entregar o seu artigo. Remetente: Serviço de entrega de correio. Conversão de cliques: 18,5%;
- Assunto: E-mails não entregues devido a servidores de e-mail sobrecarregados. Remetente: A equipe de suporte do Google. Conversão de cliques: 18%;
- Assunto: Pesquisa online com funcionários: O que você melhoraria em trabalhar na empresa. Remetente: Departamento de RH. Conversão de cliques: 18%;
- Assunto: Lembrete: Novo código de vestimenta para toda a empresa. Remetente: Recursos Humanos. Conversão de cliques: 17,5%;
- Assunto: Atenção a todos os funcionários: plano de evacuação do novo edifício. Remetente: Departamento de Segurança. Conversão de cliques: 16%.
Entre os outros e-mails de phishing que ganharam um número significativo de cliques estão; confirmações de reserva de um serviço de reservas (11%), uma notificação sobre a colocação de um pedido (11%) e um anúncio de concurso IKEA (10%).
Por outro lado, e-mails que ameaçam o destinatário ou oferecem benefícios instantâneos parecem ser menos “bem-sucedidos”. Um template com o assunto “Invadi seu computador e conheço seu histórico de buscas” ganhou 2% dos cliques, enquanto ofertas de Netflix grátis e US$ 1.000 ao clicar em um link enganou apenas 1% dos funcionários.
“Como os métodos usados pelos cibercriminosos mudam constantemente, a simulação precisa refletir as tendências atualizadas da engenharia social, juntamente com cenários comuns de crimes cibernéticos. É crucial que os ataques simulados sejam realizados regularmente e complementados com treinamento apropriado – para que os usuários desenvolvam uma forte habilidade de vigilância que lhes permita evitar cair em ataques direcionados ou no chamado spear phishing”, comenta Elena Molchanova, chefe de desenvolvimento de negócios de conscientização de segurança da Kaspersky.
Para ela, a simulação de phishing é uma das maneiras mais simples de rastrear a resiliência cibernética dos funcionários e avaliar a eficiência de seu treinamento em segurança cibernética.
LeiaJá também: