Phishing: Um Desafio Crescente na Segurança Cibernética
O fenômeno conhecido como phishing representa um dos maiores e mais custosos desafios em segurança cibernética que empresas enfrentam atualmente. Passamos longe das antigas fraudes de loteria em e-mails genéricos. A abordagem de phishing evoluiu, com mensagens eletrônicas direcionadas e meticulosamente elaboradas para roubo de dados e outras intenções maliciosas.
Diversas organizações têm dependido de programas de treinamento em phishing que evidências indicam não serem eficazes, e talvez nunca tenham sido. Este artigo aborda o que é phishing, por que os programas atuais falham e quais alternativas as empresas podem considerar.
O Que É Phishing?
Phishing pode ser comparado à "pesca" de informações. Mensagens fraudulentas e e-mails são elaborados para atrair vítimas e persuadi-las a fornecer dados sensíveis, como informações pessoais ou financeiras. Diariamente, cerca de 3,4 bilhões de e-mails não desejados são enviados, e 38% de todos os ataques cibernéticos envolvem phishing de alguma forma. Essas estatísticas apenas arranham a superfície do problema, já que as formas sofisticadas de phishing, conhecidas como spear phishing, ainda não foram mencionadas.
Enquanto muitos e-mails de phishing são gerais, repletos de erros de grafia e gramática, os e-mails de spear phishing são uma ameaça muito mais séria para as organizações atuais. Criminosos cibernéticos utilizam diversas táticas para conseguir acessar um negócio ou roubar informações que podem ser usadas em fraudes, como:
-
Perfis falsos: Criminosos cibernéticos realizam uma pesquisa sobre uma empresa-alvo, criando perfis profissionais fraudulentos e estabelecendo vínculos nas redes sociais com funcionários para ganhar confiança. Essa abordagem pode levar dias, semanas ou até meses até que um pedido de informações seja feito.
-
Imitação: Mensagens de pessoas que se passam por figuras importantes ou líderes da empresa visam obter a aprovação de faturas fraudulentas. O endereço de e-mail pode ser falsificado para parecer com o real, dificultando a identificação de fraudes. Para agravar a situação, os criminosos utilizam dados de vazamentos anteriores para parecerem confiáveis.
- E-mails personalizados: Aqui, muitos funcionários são pegos de surpresa. E-mails fraudulentos, que não são direcionados a uma única vítima específica, podem conter conteúdos que atraem trabalhadores — muitas vezes cansados, estressados e ocupados — a clicarem em links de phishing acidentalmente. Isso pode envolver mensagens sobre férias, solicitações urgentes de reuniões ou bônus de fim de ano.
Formação em Phishing: A Falha dos Programas Atuais
Estudos recentes demonstraram que o treinamento de funcionários contra phishing não está funcionando. Uma pesquisa realizada por acadêmicos da UC San Diego Health e Censys analisou os resultados de 10 campanhas de e-mail de phishing enviadas a funcionários durante um período de oito meses. O resultado? Não houve diferença significativa entre os que participaram de treinamento obrigatório anual e os que não participaram, com taxas de falha na média bastante semelhantes.
Os pesquisadores também examinaram se os programas de anti-phishing realizados pelas próprias organizações tinham algum impacto. Durante esses exercícios, e-mails de phishing falsos são enviados, e, caso um funcionário clique em um link, ele é informado sobre a fraude. Novamente, a diferença foi mínima, com uma probabilidade apenas 2% menor de cair em um e-mail de phishing.
Durante o estudo, mais de 30% dos funcionários clicaram em e-mails relacionados a políticas de férias. À medida que as campanhas se alongavam, a chance de erro aumentava, com a taxa de falha subindo de 10% no primeiro mês para mais de 50% no oitavo.
A Necessidade de uma Nova Abordagem
Os pesquisadores identificaram a falta de engajamento nos programas de treinamento modernos como um ponto crítico. O tempo de engajamento em programas anti-phishing é registrado em menos de um minuto, se é que chega a tanto. Muitas vezes, os funcionários assistem a vídeos em silêncio e aceleram questionários na esperança de acertar as respostas.
Diante dessa realidade, a segurança não pode se converter em um mero cumprimento de formalidades; as empresas devem buscar modos alternativos para abordar o treinamento.
1. Estabelecer Regras de Engajamento
Um bom treinamento em segurança deve integrar lições fundamentais que promovam aprendizado e engajamento. Técnicas que estimulam o interesse dos alunos são essenciais, como reduzir o tempo em que o instrutor fala e aumentar a participação ativa dos alunos.
Contudo, quando o treinamento depende apenas de materiais online e vídeos rápidos, o engajamento real se perde. Programas que incluem discussões ao vivo e reuniões online podem aumentar a atenção dos funcionários e permitir um aprendizado mais rico, adaptado aos tipos de ataques de phishing mais prováveis.
2. Gamificação
Diversos programas tentaram usar a gamificação para melhorar o engajamento, mas muitos exemplos são pouco eficazes. Criar vídeos animados que envolvem personagens fictícios pode não ser a solução ideal. Concursos internos e módulos de aprendizado interativos podem ajudar significativamente, especialmente se combinados com incentivos.
Entretanto, a gamificação só é verdadeira se os participantes tiverem um espírito competitivo ou genuíno interesse pelo conteúdo ensinado.
3. Abordagem de Segurança em Camadas
É crucial complementar o treinamento de funcionários com defesas tecnológicas. À medida que o phishing se torna mais complexo, as tecnologias que minimizam o sucesso dessas campanhas reduzem a necessidade de identificação humana. Filtros de e-mail avançados podem impedir que e-mails de phishing cheguem às caixas de entrada.
As empresas devem também considerar a adoção de tecnologias de monitoramento que, junto com análises comportamentais, podem detectar atividades suspeitas e prevenir intrusões.
Controle de autenticação robusto e autenticação multifatorial (MFA) devem ser implementados para aumentar a segurança das contas corporativas. Mesmo que um ataque de phishing tenha sucesso, a falta de um dispositivo secundário dificulta o uso de credenciais roubadas.
4. Reduzindo a Pressão
Por fim, cabe às lideranças das organizações tratar a segurança como uma prioridade, fazendo do treinamento mais do que uma simples medida de conformidade. Um único incidente de segurança cibernética pode causar grandes prejuízos e, embora não se possa evitar que ocorram, o risco pode ser minimizado com um engajamento adequado.
Os funcionários não podem ser forçados a participar de treinamentos em um ambiente de alta pressão. Um ambiente de aprendizado positivo é fundamental, onde os colaboradores se sintam à vontade para relatar erros, em vez de sentir que estão sendo castigados.
E Se Eu Clicar em um E-mail de Phishing?
Com a sofisticação das campanhas de phishing atualmente, é fácil tornar-se uma vítima. No entanto, não há vergonha em informar sua organização se você acredita ter caído em uma armadilha de phishing. A rapidez na comunicação sobre o incidentes pode ajudar a conter potenciais problemas de segurança. Todos cometem erros e é crucial lembrar que manter silêncio pode agravar a situação.
Referência: ZDNET
Posts relacionados:



