33Giga Tecnologia para pessoas

Segurança

Código de vestuário, plano de evacuação: os emails golpistas que são mais eficazes

De acordo com estimativas, 91% de todos os ciberataques começam com um e-mail de phishing. Esse golpe está envolvido em 32% de todas as violações de dados bem-sucedidas.

Para explicar os perigos dessa ameaça, a empresa de segurança Kaspersky analisou dados do seu simulador de phishing, fornecidos voluntariamente pelos usuários da plataforma.

Leia mais:
Celular: o que fazer antes e depois de ser roubado
Find my Phone: jovem espiona cotidiano de homem que furtou seu celular e transforma em minidocumentário

Para a pesquisa, as estatísticas foram baseadas nos resultados de 29,597 colaboradores de 100 países. Nem todos os templates de phishing disponíveis foram enviados para cada colaborador. Os dados apresentados incluem templates enviados a mais de 100 utilizadores. As campanhas de simulação de phishing decorreram entre janeiro de 2021 e maio de 2022.

O simulador faz parte da plataforma de treinamentos Kaspersky Security Awareness e ajuda as empresas a verificarem se as equipes conseguem distinguir um email fraudulento para evitar colocar em risco os dados corporativos.

A ferramenta traz um conjunto de modelos de e-mail de phishing para simular um ataque ou o administrador pode criar um e-mail personalizado. Depois a plataforma faz o envio para os funcionários sem aviso prévio e o gestor pode acompanhar os resultados para avaliar a necessidade de complementar o treinamento de quem falhou no teste.

Segundo as simulações, os cinco tipos mais eficazes de e-mails falsos (e-mail de phishing) usam as seguintes temáticas:

  • Falha na tentativa de entrega – infelizmente, não foi possível entregar seu artigo. Remetente: Serviço de entrega de correio. Conversão por clique: 18,5%.
  • E-mails não entregues devido a servidores de correio sobrecarregados. Remetente: A equipe de apoio da Google. Conversão por clique: 18%.
  • Assunto: Inquérito online aos funcionários: O que melhoraria em seu trabalho na empresa. Remetente: Departamento de RH. Conversão por clique: 18%.
  • Assunto: Lembrete: Novo código de vestuário para toda a empresa. Remetente: Recursos Humanos. Conversão por clique: 17,5%.
  • Assunto: Atenção a todos os colaboradores: novo plano de evacuação do edifício. Remetente: Departamento de Segurança. Conversão por clique: 16%.

Por outro lado, os e-mails que ameaçam o destinatário ou que oferecem benefícios imediatos parecem ser menos convincentes. Um modelo com o tema “Eu pirateei o seu computador e conheço o seu histórico de pesquisa” teve 2% de taxa de clique, enquanto as ofertas de Netflix grátis e de dinheiro (US$ 1.000) tiveram apenas 1%.

“Simular ataques de phishing é uma das formas mais simples de avaliar o conhecimento dos funcionários e saber se eles podem se proteger. No entanto, há aspectos significativos que devem ser considerados na realização desta avaliação para que tenha um impacto real”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

“Uma vez que os métodos utilizados pelos cibercriminosos estão em constante mudança, a simulação tem de refletir as táticas atuais de engenharia social, usando cenários comuns dos golpes. É crucial que os ataques simulados sejam realizados regularmente e complementados com treinamentos adequados — para que as pessoas criem uma forte habilidade de vigilância para se proteger dos golpes online.”

Para prevenir violações de dados ou perdas financeiras e de reputação relacionadas a ataques de phishing, a Kaspersky faz as seguintes recomendações:

  • Ensine os seus funcionários os sinais básicos que indicam um e-mails de phishing: uma linha de assunto dramática, erros de digitação, endereços de remetente inconsistentes e ligações suspeitas.
  • Fale para os funcionários reportarem ataques de e-mail de phishing. Ao detectar um ataque, informe o departamento de segurança/informática e, se possível, evite abrir a mensagem. Isto permitirá à sua equipe de segurança cibernética reconfigurar as políticas antispam e evitar um incidentes.
  • Treine todos os funcionários em segurança online básica. A educação deve ter como objetivo mudar o comportamento das pessoas e ensiná-los a lidar com as ameaças.