Riscos ligados à cibersegurança continuarão sendo um aspecto que demanda atenção das empresas em 2022 e, dentre as principais táticas utilizadas pelo cibercrime para atingir seus objetivos, a engenharia social e o phishing ainda ocupam um lugar de destaque.
Dados do relatório Strategic Security Survey produzido pela Dark Reading apontam que, em 2021, 53% das organizações citaram o phishing (táticas que induzem o clique em links maliciosos) como causa direta de incidentes de segurança (em 2020 o percentual era de 51%). Para 58% das empresas consultadas, o phishing é a principal causa de preocupação no que se refere à segurança de endpoints e para 48% esta seria a causa mais provável de um incidente, caso ele ocorra.
Ataques miram todas as esferas da organização, e estão mais complexos
Dentre as muitas modalidades de phishing são dignas de destaque as que miram os CEOs e outros executivos de alto nível dentro das corporações, como o spear phishing (ou pesca com arpão) que ocorre a partir de um estudo prévio e coleta de dados sobre determinados usuários no intuito de fazer uma abordagem personalizada, que pode culminar com o roubo da credencial de um destes executivos (BEC ou Business Email Compromise).
De posse da credencial de um CEO o criminoso pode, por exemplo, solicitar recursos, transferências financeiras ou informações sigilosas sem levantar suspeitas em um ataque conhecido como CEO Fraud. A depender do alvo e do interesse, estes ataques podem atingir um alto grau de complexidade.
Um relatório recente divulgado pela Tempest Security Intelligence resgata o caso de um executivo de uma empresa do Reino Unido que relata uma conversa telefônica com o CEO da matriz da empresa (sediada na Alemanha), o qual solicitou a transferência urgente de mais de €200 mil para um fornecedor húngaro. Segundo o depoimento, a voz no telefone parecia em tudo com a do CEO da empresa, no entanto, a vítima na verdade conversou com um fraudador usando um sistema de deep fake.
De acordo com registros do IC3 (Internet Crime Complaint Center), órgão do FBI que centraliza queixas de golpe na Internet, o roubo de contas (de executivos ou não) gerou perdas financeiras de mais de US$ 1,7 bilhão no ano de 2019 e mais de US$ 1,8 bi em 2020. Tendo essa problemática em vista, há um consenso entre especialistas em segurança de que é fundamental que as empresas tenham soluções de Security Awareness, incluindo treinamento e conscientização para a segurança na rotina da empresa, de modo a posicionar os colaboradores como linha de frente da segurança do negócio.
Mesmo assim, há um longo caminho a percorrer. Uma pesquisa conduzida no final do ano passado pela National Cybersecurity Alliance detectou que 64% dos participantes não tiveram acesso a nenhum tipo de aconselhamento ou treinamento sobre cibersegurança.
Conscientização para os riscos
De acordo com o Gartner, existem três fatores de sucesso para um serviço de Security Awareness. O primeiro deles é ter a liderança alinhada a uma visão de conscientização da importância da segurança digital. O segundo são as métricas orientadas a resultados e indicadores comportamentais por meio de relatórios que indicam qual foi o engajamento dos colaboradores em treinamentos. Por fim, vem a comunicação eficaz dos valores do negócio, um momento de aplicação dos insights obtidos nas etapas anteriores.
