Estudo indica aumento de táticas de phishing bem-sucedidas em empresas brasileiras em 2022

A cada ano, cresce a preocupação das empresas em relação à segurança de suas informações. Com a pandemia, o home office se tornou uma realidade para muitos trabalhadores, o que aumentou o risco de ataques cibernéticos. E uma das formas mais comuns de ataque é o phishing, que utiliza mensagens falsas para enganar funcionários e obter informações sigilosas.

Um estudo da Proofpoint, divulgado recentemente, revelou que 78% das empresas brasileiras tiveram pelo menos uma experiência bem sucedida de ataque de phishing em 2022. Além disso, 23% das empresas sofreram perdas financeiras como resultado desses ataques.

O relatório State of the Phish, que incluiu o mercado brasileiro pela primeira vez, também mostrou que, embora o ransomware e os golpes de comprometimento de e-mail comercial (BEC) continuem sendo opções populares entre os cibercriminosos, esses hackers ampliaram o uso de métodos de ataque menos familiares para se infiltrarem em organizações globais.

Uma das estratégias utilizadas é o ataque por telefone, conhecido como TOAD, que incentiva o destinatário a entrar em contato com os invasores por telefone por meio de falsos ‘call centers’. Outra técnica que tem sido amplamente utilizada é o site de phishing implantado com o método adversário no meio (AitM), que contorna a autenticação multifator.

De acordo com o estudo, muitos cibercriminosos estão dispostos a esperar para conseguirem o que querem, como no caso dos ataques de phishing multitoque, que envolve conversas mais longas com várias pessoas.

Entre as principais descobertas do relatório estão:

• A extorsão cibernética continua a causar estragos: 58% das empresas brasileiras sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade sendo bem-sucedido. Durante esses ataques, 91% das organizações infectadas no Brasil pagaram, e muitas o fizeram mais de uma vez.
• Usuários finais são vítimas de e-mails falsos da “Microsoft”: a Proofpoint observou quase 1.600 campanhas que envolveram o uso de marca em sua base global de clientes. A Microsoft foi a marca mais utilizada, com mais de 30 milhões de mensagens usando o seu nome ou apresentando um produto como Office ou OneDrive.
• Comprometimento do e-mail comercial: em média, mais da metade das organizações brasileiras relataram uma tentativa de ataque BEC, quando um cibercriminoso usa o e-mail de uma corporação para tentar induzir colaboradores e clientes a executarem uma determinada ação.
• Ameaças internas: o trabalho remoto junto à incerteza econômica pós-pandêmica, resultou em um grande número de trabalhadores mudando ou deixando de trabalhar, o que torna a proteção de dados mais difícil para as organizações brasileiras.
  Hackers tornam ameaças de e-mail mais complexas: no ano passado, centenas de milhares de mensagens com ataques orientados por telefone e autenticação multifator foram enviadas todos os dias.

O relatório State of the Phish 2022 revelou que o phishing continua sendo uma das principais ameaças à segurança cibernética, afetando empresas em todo o mundo. No Brasil, o estudo da Proofpoint mostrou que cerca de oito em cada 10 empresas (78%) tiveram pelo menos uma experiência de ataque de phishing bem-sucedido por e-mail em 2022, e 23% sofreram perdas financeiras como resultado.

O relatório também apontou que os hackers estão ampliando suas táticas para enganar funcionários das empresas. Embora os ransomware e os golpes de comprometimento de e-mail comercial (BEC) continuem sendo opções populares entre os cibercriminosos, o estudo mostrou que esses hackers ampliaram o uso de métodos de ataque menos familiares para se infiltrarem em organizações globais.

De acordo com o relatório, os hackers estão usando técnicas mais novas, como ataques por telefone e sites de phishing implantados com o método adversário no meio (AitM), que contornam a autenticação multifator. Além disso, houve um aumento acentuado em ataques de phishing multitoque, que envolvem conversas mais longas com várias pessoas.

Outro destaque do relatório é a extorsão cibernética, que continua a causar estragos. O estudo mostrou que 58% das empresas brasileiras sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido. A maioria das organizações afetadas (91%) pagou o resgate, e muitas (29%) o fizeram mais de uma vez.

Os hackers também estão usando marcas conhecidas para enganar os usuários. A Microsoft foi a marca mais utilizada em ataques de phishing, com mais de 30 milhões de mensagens usando seu nome ou apresentando um produto como Office ou OneDrive. O relatório também apontou que os ataques BEC se tornaram globais, com mais da metade das organizações brasileiras (56%) relatando uma tentativa de ataque no ano passado.

O relatório State of the Phish 2022 enfatiza a importância de uma cultura de segurança cibernética em toda a organização. A falta de conscientização e os comportamentos negligentes de segurança demonstrados pelos colaboradores criam riscos substanciais para as empresas e seus dados. É fundamental que as empresas invistam em programas de conscientização de segurança e treinem toda a força de trabalho. A simulação de phishing é um componente crítico para a construção de um programa de conscientização de segurança eficaz.

, o relatório State of the Phish 2022 destaca a necessidade de as empresas brasileiras adotarem medidas eficazes para se protegerem contra ataques de phishing e outras ameaças cibernéticas. A conscientização e a educação cibernética são fundamentais para evitar danos financeiros e de reputação.

Para baixar o relatório State of the Phish 2023 e ver a lista global e regional completa, acesse este link.