De acordo com o ESET Threat Report D1 2022, as ameaças por e-mail tiveram um aumento de 2022% nos primeiros quatro meses de 37. Os golpes de phishing usam táticas de e-mail falsas para induzir os invasores a instalar malware, roubar credenciais e enganar os usuários para que façam transferências de dinheiro corporativas. Os golpistas usam técnicas de engenharia social projetadas para fazer o comprador entrar em ação sem pensar.
Essas táticas incluem:
- Usar IDs/domínios/números de telefone de remetente falsos e, às vezes, erros de digitação ou nomes de domínio internacionalizados (IDNs)
- Contas de remetentes invadidas que são quase impossíveis de detectar como tentativas de phishing,
- Pesquisa on-line (via mídia social) para tornar as tentativas de spear phishing mais confiáveis
- Logotipos oficiais, cabeçalhos, rodapés, etc. usar,
- Criando um senso de urgência ou excitação que leva o usuário a tomar decisões precipitadas.
- Links encurtados que escondem o verdadeiro destino do remetente,
- Portais de entrada legítimos, sites, etc. criação.
De acordo com o último relatório do Verizon DBIR, quatro vetores foram responsáveis pela maioria dos incidentes de segurança no ano passado: credenciais, phishing, exploits e botnets. Os dois primeiros são sobre erro humano. Um quarto (25%) do total de violações examinadas no relatório foi resultado de ataques de engenharia social. Combinado com erros humanos e abuso de privilégio, o elemento humano foi responsável por 82% de todas as violações.
Trabalhadores distraídos e domésticos com dispositivos mal protegidos foram brutalmente visados por agentes de ameaças. Em abril de 2020, o Google afirmou bloquear até 18 milhões de e-mails maliciosos e de phishing em todo o mundo todos os dias.
À medida que muitos desses funcionários retornam ao escritório, há também o risco de serem expostos a mais smishing de SMS e ataques de phishing baseados em chamadas de voz. Os usuários em trânsito podem estar mais propensos a clicar em links e abrir arquivos adicionais que não deveriam. Isso pode levar a:
- download de ransomware,
- trojans bancários,
- Roubo/violações de dados,
- malware de criptomineração,
- implantações de botnets,
- Contas invadidas para uso em ataques subsequentes,
- Interceptação de e-mails comerciais (BEC) resultando em perda de dinheiro devido a faturas/solicitações de pagamento fraudulentas.
Embora o custo médio de uma violação de dados seja superior a US$ 4,2 milhões, o que é um recorde hoje, algumas violações de ransomware custam várias vezes isso.
O gerente de produto e marketing da ESET Turquia, Can Erginkurban, enfatizou que o treinamento é sempre importante e disse: “O treinamento regular deve ser realizado para evitar ataques contra funcionários. O treinamento de conscientização sobre phishing deve ser apenas parte de uma estratégia de várias camadas para combater ameaças de engenharia social. Mesmo o pessoal mais treinado às vezes pode ser vítima de golpes sofisticados. É por isso que os controles de segurança também são importantes. Se você deseja proteger sua organização contra ataques de phishing, definitivamente deve apoiar seus funcionários com treinamentos.” disse.
Seja o primeiro a comentar