Relatório da Proofpoint aponta que hackers ampliaram táticas em 2022

A Proofpoint, empresa que atua em cibersegurança e Compliance, acaba de divulgar a nona edição do relatório State of the Phish, que incluiu o mercado brasileiro pela primeira vez. De acordo com o estudo, aproximadamente oito em cada 10 empresas brasileiras (78%) tiveram, ao menos, uma experiência de ataque de phishing por e-mail bem sucedido em 2022, e 23% sofreram perdas financeiras como resultado. Embora os ransomware e os golpes de comprometimento de e-mail comercial (BEC) continuem sendo opções populares entre os cibercriminosos, o estudo mostrou que esses hackers ampliaram o uso de métodos de ataque menos familiares para se infiltrarem em organizações globais.

O relatório deste ano fornece uma visão detalhada das ameaças do mundo real, abrangendo mais de 18 milhões de e-mails relatados por usuários finais e 135 milhões de ataques de phishing simulados enviados durante o período de um ano. O relatório também examina as percepções de 7.500 funcionários e 1.050 profissionais de segurança em 15 países, revelando lacunas surpreendentes na conscientização sobre segurança e educação cibernética que propagam o cenário de ataques no mundo real.

“Embora o phishing convencional continue sendo bem-sucedido, muitos hackers migraram para técnicas mais novas, como ataques por telefone e sites de phishing implantados com o método adversário no meio (AitM), que contornam a autenticação multifator. Essas técnicas têm sido usadas há anos, mas em 2022 elas foram implantadas em grande escala”, disse Rogério Morais, vice-presidente da América Latina e Caribe. “Também observamos um aumento acentuado em ataques de phishing multitoque, que envolve conversas mais longas com várias pessoas. Seja um grupo alinhado com o estado ou um golpista de Business Email Compromise (BEC), muitos cibercriminosos estão dispostos a esperar para conseguirem o que querem.”

Entre as principais descobertas do relatório estão:
A extorsão cibernética continua a causar estragos
58%das empresas brasileiras sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido. No entanto, apenas sete em cada 10 recuperaram o acesso aos seus Dados depois de pagar resgate. De forma alarmante, 48% dos entrevistados brasileiros disseram que sua organização sofreram vários ataques de ransomware em períodos diferentes.

Durante estes ataques, 91% das organizações infectadas no Brasil pagaram, e muitas (29%) o fizeram mais de uma vez. Das organizações afetadas por ransomware no País, a esmagadora maioria (92%) tinha uma apólice de seguro cibernético para ataques de ransomware e a maioria das seguradoras estava disposta a pagar o resgate parcial ou integralmente (93%). Isso também explica a alta propensão a pagar, com 91% das organizações infectadas pagando pelo menos um resgate.

Usuários finais são vítimas de e-mails falsos da “Microsoft”
Em 2022, a Proofpoint observou quase 1.600 campanhas que envolveram o uso de marca em sua base global de clientes. Embora a Microsoft tenha sido a marca mais utilizada, com mais de 30 milhões de mensagens usando o seu nome ou apresentando um produto como Office ou OneDrive, outras empresas regularmente foram exploradas por criminosos cibernéticos, incluindo Google, Amazon, DHL, Adobe e DocuSign. Vale ressaltar que os ataques AitM exibiram a página de login real da organização para o usuário, que em muitos casos era o Microsoft 365.

Considerando o volume de ataques de personificação de marca, é alarmante que três em cada cinco (60%) funcionários brasileiros considerem que um e-mail é seguro quando contém uma marca familiar, 16 pontos acima da média global. Além disso, 80% acham que um endereço de e-mail sempre corresponde ao site proprietário da marca, 17 pontos a mais que a média global. Não é nenhuma surpresa ver que metade dos 10 modelos de simulação de phishing mais usados pelos clientes da Proofpoint estava relacionado à representação de marca, que também tendia a ter altas taxas de falha.

Comprometimento do e-mail comercial: a fraude cibernética se torna global
No ano passado, em média, mais da metade (56%) das organizações brasileiras relataram uma tentativa de ataque BEC, quando um cibercriminoso usa o e-mail de uma corporação para tentar induzir colaboradores e clientes a executarem uma determinada ação. Embora o inglês seja o idioma mais comum nesses casos, alguns países que não falam a língua estão começando a ver volumes maiores de ataques em seus próprios idiomas. Os ataques BEC foram maiores que a média global ou tiveram um aumento notável em comparação com 2021:

Holanda 92% (não incluído na análise anterior)
Suécia 92% (não incluído na análise anterior)
Espanha 90% vs. 77% (aumento de 13 pontos percentuais)
Alemanha 86% vs. 75% (aumento de 11 pontos percentuais)
França 80% vs. 75% (aumento de 5 pontos percentuais)
Ameaças internas

O trabalho remoto junto à incerteza econômica pós-pandêmica, resultou em um grande número de trabalhadores mudando ou deixando de trabalhar, o que corresponde a cerca de um em cada quatro funcionários brasileiros nos últimos dois anos. Essa tendência do mercado torna a proteção de dados mais difícil para as organizações brasileiras, com 44% relatando que sofreram perda de dados devido à uma ação interna. Entre os que mudaram de emprego, quase metade (45%) admitiu levar Dados consigo.

Hackers tornam ameaças de e-mail mais complexas
No ano passado, centenas de milhares de mensagens com ataques orientados por telefone (TOAD) e autenticação multifator (MFA) foram enviadas todos os dias — onipresentes o suficiente para ameaçar quase todas as organizações. A Proofpoint rastreou por dia mais de 600.000 ataques TOAD, e-mails que incitam os destinatários a iniciar uma conversa direta com os invasores por telefone por meio de falsos ‘Call Centers’, e o número tem aumentado constantemente desde que a técnica apareceu pela primeira vez no final de 2021.

Os cibercriminosos agora também têm vários métodos para contornar o MFA, já que muitos provedores de phishing-as-a-service já incluem ferramentas AitM em seus kits de phishing disponíveis no mercado.

Espaço para melhorias com a educação cibernética Os hackers sempre inovam e, mais uma vez, o relatório deste ano mostrou que a maioria dos funcionários sofre com falhas de conscientização de segurança. O estudo revelou que mesmo as ameaças cibernéticas básicas ainda não são bem compreendidas — mais de um terço dos entrevistados não consegue definir “malware”, “phishing” e “ransomware”.

Apesar disso, 71% das organizações brasileiras afirmaram possuir um programa de conscientização de segurança e treinar toda a sua força de trabalho. Destas, apenas 31% realizam simulações de phishing — ambos componentes críticos para a construção de um programa de conscientização de segurança eficaz.

“A falta de conscientização e os comportamentos negligentes de segurança demonstrados pelos colaboradores criam riscos substanciais para as empresas e seus Dados”, complementa o vice-presidente. “Como o e-mail continua sendo o método de ataque preferido desses criminosos e eles se ramificam para técnicas muito menos familiares aos funcionários, há um valor claro na construção de uma cultura de segurança que abranja toda a organização.”

Serviço
www.proofpoint.com/br/products/security-awareness-training
www.proofpoint.com/br/resources/threat-reports/state-of-phish