Simulação de phishing mostra que esses ataques permanecem efetivos

Simulação de phishing mostra que esses ataques permanecem efetivos. E-mails com impacto pessoal resultaram em mais cliques e equipes técnicas de TI também clicam onde não devem.

O e-mail supostamente dos recursos humanos convenceu mais de um quinto dos destinatários a clicar, a maioria dos quais o fez dentro de uma hora após o recebimento da mensagem fraudulenta.
Um ataque de phishing simulado contra mais de 82.000 funcionários descobriu que e-mails com impacto pessoal resultaram em mais cliques e que equipes técnicas — como profissionais de TI e equipes de DevOps — clicaram com a mesma frequência e relataram suspeitas de ataques de phishing com menos frequência em comparação com equipes não técnicas
 
A empresa de segurança de software F-Secure trabalhou com quatro organizações multinacionais para criar campanhas com um dos quatro e-mails de phishing diferentes: uma suposta mensagem de recursos humanos, uma mensagem falsa de fraude do CEO, uma mensagem falsificada de compartilhamento de documentos e um aviso falso de um serviço fracasso. Em média, 12% dos usuários clicaram no e-mail de phishing em suas caixas de entrada, mas a taxa dependia significativamente do conteúdo.

Além disso, o tempo médio para relatar uma suspeita de ataque de phishing foi de 30 minutos – bom, mas um pouco problemático, já que um quarto daqueles que clicaram em um e-mail de phishing o fizeram nos primeiros cinco minutos, diz Matthew Connor, gerente de entrega de serviços da F-Secure e autor principal do relatório do estudo.

A identificação de um ataque e de um phishing bem-sucedido é de longe a parte mais importante aqui“, diz ele. “É muito bom treinar sua equipe para que eles não cliquem em um e-mail, mas se os e-mails chegaram nas caixas de entrada, se você mesmo não clicou, você precisa saber que é importante que seja reportado”.

Relatórios rápidos de phishing são fundamentais

Talvez a lição mais importante do estudo seja: a velocidade é fundamental, diz Connor. Uma maneira de melhorar a taxa de relatórios e a velocidade é tornar os relatórios muito simples, como o clique de um botão. Duas empresas que não tinham uma maneira tão fácil de relatar ataques suspeitos de phishing tiveram uma taxa média de notificação de menos de 15%, enquanto uma terceira empresa que tinha um botão presente teve uma taxa de notificação de 45%.

Como as empresas precisam confiar nos funcionários para denunciar o phishing o mais rápido possível, é importante manter o processo o mais livre de atritos possível, disse Riaan Naude, diretor de consultoria da F-Secure, em comunicado anunciando os resultados.

As evidências no estudo apontam claramente para processos de relatórios rápidos e indolores como um terreno comum onde o pessoal de segurança e outras equipes podem trabalhar juntos para melhorar a resiliência de uma organização contra phishing“, diz ele. “Acertar isso significa que um ataque pode ser detectado e evitado mais cedo, pois as equipes de segurança podem ter apenas alguns minutos preciosos para mitigar um possível comprometimento“.

O estudo também descobriu que trabalhar em TI ou DevOps não equivale a um melhor julgamento ao avaliar possíveis ataques de phishing (veja também Equipe de TI e DevOps é mais propensa a clicar em links de phishing“). Nas duas organizações que tinham funcionários em TI ou DevOps, ambos os grupos clicaram em e-mails de teste com probabilidade igual ou maior do que outros departamentos em suas organizações, afirmou a F-Secure no relatório.

Em uma organização, 26% dos membros da equipe de DevOps e 24% dos membros da equipe de TI clicaram na carga útil de phishing de teste, em comparação com 25% da organização em geral, enquanto 30% do DevOps e 21% da equipe de TI clicaram na carga útil de phishing no segunda organização, em comparação com 11% no total.

Os resultados provavelmente mostram a diferença entre os trabalhadores que foram treinados em segurança de TI e aqueles que têm uma natureza suspeita que complementa uma posição em segurança de TI.

O phishing é colocado na categoria de problemas de segurança da informação – e é – mas também é apenas um recipiente para uma fraude“, diz Connor. “É o mesmo que ter algo tirado de você quando você está procurando em outro lugar. É necessário ter uma mentalidade para se defender contra isso.

Um clique

Se este estudo de phishing é uma representação verdadeira do estado de vulnerabilidade da força de trabalho é discutível. O estudo mediu apenas dois resultados, com um único clique determinado como um ataque bem-sucedido. Normalmente, um ataque de phishing exigirá várias etapas como parte de sua cadeia de ataque: o usuário clica em um anexo ou link no e-mail e permite que um programa seja executado ou insira informações em um site que parece legítimo, mas está sob controle do invasor.

Muitas vezes, o usuário pensará duas vezes antes de inserir suas informações em um site ou clicar no botão OK para permitir que um programa seja executado.

No entanto, a F-Secure também teve que fazer concessões na construção das iscas de e-mail. As regras da simulação não permitiam que a empresa adaptasse o conteúdo do e-mail a classes de usuários, exigindo que as mensagens fossem amplamente aplicáveis. Além disso, as mensagens de e-mail não podem incluir um logotipo ou usar outros idiomas além do inglês. Mais personalização provavelmente levaria a ataques mais bem-sucedidos, afirmou a F-Secure no relatório.

Por exemplo, os e-mails de notificação de problemas de compartilhamento de documentos e serviços não foram marcados como um serviço bem conhecido e isso provavelmente afetou sua taxa de cliques, argumentou a empresa, acrescentando que “as equipes de segurança devem estar cientes de que um invasor real pode imitar um serviço conhecido e ter mais sucesso.”

Fonte: Darkreading 


Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!