Hackers implantam táticas avançadas de engenharia social em ataques de phishing

12/03/2025 mindsecblog Notícias 0

Os cibercriminosos estão evoluindo seus métodos de phishing, empregando táticas de engenharia social mais sofisticadas para enganar seus alvos.

Descobertas recentes do Relatório de Atividades APT da ESET destacam uma tendência preocupante em que os agentes de ameaças estão estabelecendo relacionamentos com vítimas em potencial antes de implantar conteúdo malicioso.

Essa mudança de estratégia torna cada vez mais desafiador para os funcionários identificar e evitar tentativas de phishing.

Grupos alinhados à Coreia do Norte, incluindo Deceptive Development e Kimsuky, foram observados usando ofertas de emprego falsas e solicitações de entrevista para iniciar contato com os alvos.

Somente depois de construir um relacionamento é que eles entregam cargas maliciosas.

Da mesma forma, o grupo Lazarus tem se passado por recrutadores em redes profissionais, distribuindo bases de código trojanizadas disfarçadas de atribuições de trabalho com o objetivo de roubo de criptomoedas.

O Elemento Humano: Uma Vulnerabilidade Crítica

O fator humano continua sendo uma vulnerabilidade significativa na segurança cibernética. O Relatório de Investigações de Violação de Dados de 2024 da Verizon revela que 68% das violações envolveram um elemento humano não malicioso, como ser vítima de ataques de engenharia social.

Phishing e pretexting via e-mail foram responsáveis por 73% dessas violações, com pretexting superando o phishing tradicional em frequência.

Essas violações centradas no ser humano não são apenas prevalentes, mas também caras.

De acordo com o Relatório de Custo de uma Violação de Dados 2024 da IBM, a perda média de negócios devido a phishing atingiu US$ 4,88 milhões por violação, tornando-se o segundo tipo de ataque mais caro depois de incidentes internos maliciosos.

Mitigando riscos por meio de treinamento de conscientização

Para combater essas ameaças em evolução, as organizações estão recorrendo a um treinamento abrangente de conscientização sobre segurança cibernética.

A ESET lançou seu programa de treinamento de conscientização sobre segurança cibernética, projetado para educar os funcionários sobre as ameaças cibernéticas atuais e ajudar as empresas a atender aos requisitos de conformidade e seguro.

Este treinamento adota uma abordagem baseada em histórias, envolvendo os funcionários na compreensão de maus hábitos comuns que podem colocar em risco toda a empresa.

Ele também fornece informações sobre a mentalidade dos agentes de ameaças, explicando como eles exploram perfis de redes sociais para adivinhar senhas ou se passar por alvos.

O programa de treinamento da ESET faz parte de uma abordagem mais ampla de prevenção em primeiro lugar, que visa reduzir a superfície de ataque e reduzir a complexidade da defesa cibernética.

Ao combinar o treinamento de funcionários com soluções de segurança em várias camadas, como o ESET PROTECT, as organizações podem se preparar melhor contra o cenário em constante evolução das ameaças cibernéticas.

À medida que as técnicas de phishing continuam avançando, fica claro que uma força de trabalho bem informada é crucial para manter uma forte postura de segurança cibernética.

Ao investir em treinamento de conscientização de alta qualidade, as empresas podem capacitar seus funcionários a reconhecer e frustrar até mesmo as tentativas de engenharia social mais sofisticadas.