Estudo revela que 72% dos trabalhadores no Brasil admitem ter tomado ações arriscadas, como reutilizar ou compartilhar uma senha ou entregar suas credenciais a alguém.
Mais de dois terços (69%) dos trabalhadores brasileiros colocam conscientemente suas organizações em risco, potencialmente levando a infecções por ransomware ou malware, violações de dados ou perdas financeiras, de acordo com o relatório anual State of the Phish da empresa de cibersegurança Proofpoint.
Embora a incidência de ataques de phishing bem-sucedidos, tanto globalmente quanto no Brasil, tenha diminuído ligeiramente (66% das organizações pesquisadas no Brasil sofreram pelo menos um ataque bem-sucedido em 2023, contra 78% no ano anterior), as consequências negativas cresceram, com aumento de 18% nos relatos de penalidades financeiras, como multas regulatórias.
As conclusões do relatório deste ano colocam por terra a ideia corrente de que as pessoas tomam ações arriscadas devido à falta de conhecimentos sobre segurança cibernética e que a formação em sensibilização para a segurança, por si só, pode prevenir totalmente comportamentos arriscados. O dilema estende-se à crença dos profissionais de segurança de que a maioria dos funcionários sabe que é responsável pela proteção da organização, sinalizando uma lacuna entre as limitações da tecnologia de segurança individual e a educação dos usuários.
“Os cibercriminosos sabem que os seres humanos podem ser facilmente ‘explorados’, seja por negligência, comprometimento da identidade ou, em alguns casos, por intenção maliciosa”, disse Ryan Kalember, diretor de estratégia da Proofpoint. “Os indivíduos desempenham um papel central na postura de segurança de uma organização, com 74% das violações ainda centradas no elemento humano. Embora a promoção da cultura de segurança seja importante, a formação por si só não é uma solução milagrosa. Saber o que fazer e colocar em prática são duas coisas diferentes. O desafio agora não é apenas a conscientização, mas a mudança de comportamento.”
O relatório fornece uma visão geral do cenário atual de ameaças, em que IA generativa, QR code e autenticação multifatorial (MFA) são explorados por operadores de ameaças, conforme obtido pela telemetria da Proofpoint de mais de 2,8 trilhões de e-mails digitalizados em 230 mil organizações em todo o mundo, bem como de descobertas de 183 milhões de ataques de phishing simulados enviados durante um período de doze meses. O relatório também examina as percepções de 7.500 funcionários e 1.050 profissionais de segurança em 15 países, incluindo o Brasil.
“No estudo, podemos observar como os hackers estão encontrando novas maneiras de aproveitar a busca das pessoas por velocidade e conveniência. Também temos um panorama do estado atual das iniciativas de conscientização sobre segurança”, destaca Rogério Morais, vice-presidente da América Latina e Caribe.
As principais conclusões do relatório sobre o Brasil são: partilhar uma senha ou entregar suas credenciais a alguém.
Mesmo conscientes sobre segurança, os funcionários ainda persistem em tomar ações arriscadas: 72% dos trabalhadores entrevistados no Brasil admitiram ter tomado ações arriscadas, como reutilizar ou compartilhar uma senha, clicar em links de remetentes desconhecidos ou entregar suas credenciais a alguém não confiável. 96% deles tiveram essas atitudes sabendo dos riscos inerentes envolvidos, o que significa que 69% dos funcionários minaram voluntariamente a segurança da sua organização. As motivações por trás de ações arriscadas são variadas, com a maioria dos funcionários citando o senso de urgência (38%), o desejo de economizar tempo (36%) e a conveniência (20%) como principais motivos.
Desconexão entre equipes de TI e funcionários para promover mudanças reais de comportamento: embora 94% dos profissionais de segurança pesquisados no Brasil tenham afirmado que a maioria dos funcionários sabe que são responsáveis pela segurança, 53% dos funcionários pesquisados não tinham certeza ou alegaram que não eram responsáveis. Ainda que praticamente todos os funcionários que tomaram medidas arriscadas conhecessem os riscos inerentes – uma indicação clara de que a formação em segurança está funcionando para consciencializar os funcionários – existem disparidades claras entre o que os profissionais de segurança e os funcionários consideram eficaz para encorajar mudanças de comportamento.
Os profissionais de segurança brasileiros acreditam que mais treinamento (93%) e controles mais rígidos (82%) são a resposta, mas quase todos os funcionários entrevistados (87%) disseram que priorizariam a segurança se os controles fossem simplificados e mais fáceis de usar.
A MFA continua fornecendo uma falsa sensação de segurança, deixando as empresas expostas: mais de um milhão de ataques em todo o mundo são lançados com a estrutura de desvio de MFA EvilProxy todos os meses, mas 94% dos profissionais de segurança no Brasil ainda acreditam que a MFA fornece proteção completa contra o controle de contas.
Os ataques de comprometimento de e-mail comercial (BEC) se beneficiam da IA: menos organizações relataram tentativas de fraude por e-mail em todo o mundo, mas o volume de ataques cresceu em países como o Brasil (aumento de 21%), Japão (35%), Coreia do Sul (31%) e Emirados Árabes Unidos (29%). Esses países podem ter visto anteriormente menos ataques BEC devido a barreiras culturais ou linguísticas, mas a IA generativa permite que os atacantes criem e-mails mais convincentes e personalizados em vários idiomas. A Proofpoint detecta uma média de 66 milhões de ataques direcionados em todo o mundo todos os meses.
A extorsão cibernética persiste como forma lucrativa de ataque: 60% das organizações no Brasil sofreram uma infecção de ransomware bem-sucedida no ano passado (um aumento de 14 pontos percentuais em relação a 2022); o que é alarmante é que 67% dos profissionais de TI disseram que suas organizações sofreram diversas infecções de ransomware separadas. Das organizações afetadas pelo ransomware, 63% concordaram em pagar aos invasores (contra 91% em 2022), com apenas 58% recuperando o acesso aos seus dados após um único pagamento (contra 71% há um ano).
A entrega de ataques orientados por telefone (TOAD) continua a crescer: embora inicialmente pareça uma mensagem benigna, contendo nada mais do que um número de telefone e algumas informações erradas, a cadeia de ataque é ativada quando um funcionário desavisado liga para uma central de atendimento fraudulenta, fornecendo suas credenciais ou concede acesso remoto a agentes maliciosos. A Proofpoint detecta 10 milhões de ataques TOAD globalmente por mês, em média, com um pico recente em agosto de 2023, que identificou 13 milhões de incidentes.
Apesar da crescente proeminência e sofisticação de ameaças como ransomware, TOAD e desvio de MFA, muitas organizações não estão adequadamente preparadas ou treinadas para lidar com elas. Apenas 30% das organizações no Brasil educam seus usuários sobre como reconhecer e prevenir ataques TOAD, e apenas 18% ensinam seus funcionários sobre segurança de IA generativa.
Fonte: CISO Advisor.