Esta foi a conclusão do Annual Human Factor Report da Proofpoint, segundo o qual quase todos os ataques que tiveram sucesso nos últimos 18 meses requeriam que o alvo abrisse arquivos, clicasse em links ou executasse algum tipo de ação voluntária
Embora uma pequena fração dos ataques dependa de exploit kits e de vulnerabilidades conhecidas do software para comprometer os sistemas, a grande maioria das campanhas (99%) exige algum nível de contribuição humana para trabalhar. Esta foi a conclusão do Annual Human Factor Report da Proofpoint, um estudo baseado em dados dos clientes da empresa, recolhidos ao longo de 18 meses. É por vezes tentador culpar os utilizadores por serem vítimas de ataques de phishing, mas há que não esquecer que as campanhas se estão a tornar cada vez mais sofisticadas. Muitas vezes, é difícil distinguir um email de phishing de um normal, porque os atacantes concebem os ataques para que possam passar por uma fonte confiável, como fornecedores de serviços cloud, colegas ou até o chefe. Esta engenharia social é o elemento-chave na execução de campanhas. O relatório determinou que estas chegam mesmo a imitar as rotinas das empresas para assegurar a máxima taxa de sucesso possível. Afinal, um utilizador irá muito mais facilmente suspeitar de um e-mail alegadamente enviado por um colega se este chegar a meio da noite. O phishing é um dos tipos de ciberataqueataques mais fáceis e baratos de levar a cabo - mas o motivo pelo qual se mantém a pedra angular do cibercrime é porque, pura e simplesmente, funciona. "Mais de 99% dos ciberataques dependem da interação humana para funcionar - fazendo dos utilizadores individuais a última linha de defesa. Para reduzir significativamente os riscos, as organizações precisam de uma abordagem holística de cibersegurança centrada nas pessoas, que inclua formação eficaz em boas-práticas de segurança e defesas por layers que forneçam visibilidade dos utilizadores mais atacados", explica Kevin Epstein, vice president of threat operations da Proofpoint. Embora muitos ataques de phishing sejam concebidos para parecerem altamente legítimos, existem maneiras de identificar um potencial ataque malicioso. Por exemplo, emails inesperados de cariz urgentes podem ser vistos como suspeitos. Em caso de dúvida, o utilizador poderá entrar em contacto com o suposto remetente da mensagem para ver se se trata de facto de uma mensagem legítima. Há também que denotar que fornecedores de serviços cloud como Microsoft e Google não requerem que os utilizadores cliquem em links inesperados para fornecer credenciais ou outras informações. Por último, as organizações devem também garantir que as atualizações de software e patches de segurança são instalados regularmente; assim, caso alguém carregue acidentalmente num link, o malware que depende de vulnerabilidades conhecidas não terá bases para operar. |