Participantes da conferência de segurança Black Hat 2017 disseram que sua preocupação n° 1 e atividade que mais consumia tempo eram ataques de phishing e engenharia social. Nada surpreendente dado o aumento de ameaças de Comprometimento de E-mail Empresarial (BEC em inglês) e o fato de que a maioria dos ataques de ransomware vem por email.
Mas os participantes na Black Hat também afirmaram que o ponto fraco em sua estratégia eram os usuários finais, justamente os mais suscetíveis a este tipo de ataque.
[fonte: https://www.blackhat.com/docs/us-17/2017-Black-Hat-Attendee-Survey.pdf]
É por isso que introduzimos um novo e gratuito serviço, o Phish Insight. Com ele, empresas de todos os tamanhos poderão, finalmente, gerar as informações de que precisam para criar programas mais efetivos de treinamento e conscientização. E o melhor: é totalmente gratuito!
O vetor de risco máximo
E-mail é ainda o maior vetor de risco para as organizações hoje em dia. A Smart Prediction Network da Trend Micro bloqueou mais de 66,4 bilhões de ameaças só em 2017, sendo que mais de 85% eram e-mails com conteúdo malicioso. Phishing é uma das táticas mais comuns usadas por cibercriminosos. O uso de engenharia social normalmente envolve enganar o usuário de modo que clique em um link malicioso ou abra algum anexo infectado. Isso pode acarretar o download de algum ransomware ou ser primeiro passo de uma invasão para roubar dados de consumidores ou mesmo propriedade intelectual.
Em 2017, 94% de todos os ransomwares bloqueados pela Trend Micro foram distribuídos por e-mail. Para completar, dados recentes da operadora Verizon afirmam que o phishing representa 93% de todas as brechas de segurança registradas em 2017. O BEC aparece como uma ameaça crescente para empresas e que também é baseada na manipulação do usuário final, mas com a finalidade específica de fazer com que realizem transferências de valores para o hacker, que se passa pelo CEO ou algum outro membro da diretoria. A Trend Micro estima que esses golpes podem gerar um prejuízo total acumulado na cada de US$9 bilhões neste ano.
Na linha de frente
Com o aumento das táticas de phishing e engenharia social, os riscos tendem a crescer também. Estima-se que o valor das ações de uma empresa de engenharia aeroespacial chegou a cair 38% depois de sofrer um ataque do tipo BEC, o que gerou perdas de mais de €50 milhões de euros (R$210 milhões na cotação atual). Então qual a saída? É nítido que precisamos encontrar formas de fortalecer o elo fraco nesta corrente de Cibersegurança: nossos colaboradores.
Infelizmente, diferentemente da tecnologia, não dá para simplesmente baixar um patch de segurança na equipe. Contudo, com o treinamento certo eles podem aprender a identificar e-mails maliciosos. De acordo com a Verizon, 4% dos alvos de campanhas de phishing vão acabar clicando nos links ou anexos. Parece pouco, mas pode bastar um só clique errado para colocar em risco toda a empresa.
Conheça o Phish Insight
Sabemos que programas de conscientização são um complemento importante das ferramentas e tecnologias de Cibersegurança. Mas como fazer para montar um que seja realmente efetivo? É aqui que os insights sobre comportamento do usuário se tornam fundamentais.
O Phishing Insight permite que você rapidamente obtenha este insight – e completamente de graça. Organizações de todos os tamanhos podem participar: só precisam de um admin e alguns minutos para criar uma campanha de phishing. Eles podem selecionar os destinatários e escolher um template baseado em certos comportamentos ou tópicos para fazer a simulação de ataque de phishing; ainda é possível customizar o teste por assunto, gráficos, linguagem e muito mais. Os admins podem definir a duração da “campanha”.
Uma vez lançada a simulação, os insights gerados são enviados detalhadamente pelo Centro de Monitoração. As equipes de TI podem ver quem caiu do no golpe individualmente e podem até mesmo verificar quais departamentos ou regiões são mais vulneráveis. Com esta informação, é possível otimizar os programas de treinamento. Como fazer isso depende de cada cliente, mas algumas boas opções incluem enviar um email automático para os que caíram no teste ou levá-los automaticamente a um centro online de treinamento anti-phishing. A versão premium pode ser requisitada gratuitamente e inclui um plugin de Outlook que adiciona um botão que pode ser acionado pelo colaborador para alertar a equipe de segurança sobre e-mails suspeitos.
“Contamos com a Trend Micro como parceira de segurança, e esperamos que eles vão nos entregar sempre os mais recentes métodos para detectar, avaliar e reagir a ameaças”, afirma Neil O’Beaglaoi, gerente de desenvolvimento de negócios na Smarttech. “Sua ferramenta mais recente, a Phish Insight, trouxe informações valiosas sobre como nossos usuários percebem e interagem com emails de phishing”.
Por 30 anos a Trend Micro vem trabalhando para tornar o mundo mais seguro para a troca de informação digital. Estamos disponibilizando este serviço de graça porque é uma ótima oportunidade de subir sensivelmente o nível de segurança e inúmeras organizações. Seres humanos tendem a agir de acordo com seus hábitos, e se você conseguir fazer com que adotem boas práticas, você terá dado um grande passo para alcançar uma postura mais proativa em Cibersegurança. E isso tudo começa com melhores insights: com Phish Insight.