Quase todos os ataques cibernéticos bem-sucedidos baseados em e-mail necessitam que o alvo abra arquivos, clique em links ou execute alguma outra ação.
Enquanto uma pequena fração dos ataques baseia-se em explorar conjuntos de vulnerabilidades de software conhecidas para comprometer sistemas, a vasta maioria das campanhas, 99%, necessitam de algum nível de ação humana para rodar. Essas interações também podem habilitar macros para que código malicioso possa ser executado.
Ataques via e-mail induzem usuários a clicar em links
A descoberta vem da Annual Human Factor Report da Proofpoint, um trabalho baseado em 18 meses de dados coletados dos clientes de cibersegurança da empresa.
Às vezes, parece fácil culpar usuários por serem vítimas de ataques de phishing, mas as campanhas estão se tornando cada vez mais sofisticadas. Frequentemente é difícil distinguir um e-mail malicioso de um normal pois invasores personalizarão os ataques como se eles fossem de uma fonte confiável, como provedores de serviço em nuvem como a Microsoft ou o Google, colegas ou até mesmo seu chefe.
A engenharia social é o elemento chave na condução de campanhas: o relatório afirma que invasores estão até mesmo imitando as rotinas dos negócios para garantir a melhor chance de sucesso.
Por exemplo, um usuário talvez desconfie de um e-mail que chegou no meio da noite afirmando vir de um colega, mas um que chega no meio de um dia de trabalho normal é mais provável de ser tratado como um e-mail legítimo, com o potencial da vítima acidentalmente dar o pontapé inicial para um ataque.
Por que hackers usam essa tática?
Phishing é um dos ataques cibernéticos mais baratos e fáceis para um criminoso implementar – mas a razão pela qual ele continua sendo uma base de campanhas de hacking é porque, colocado de maneira simples, ele funciona.
Kevin Epstein, vice presidente das operações de ameaça da Proofpoint, disse:
Cibercriminosos estão agressivamente atrás das pessoas, pois enviar e-mails fraudulentos, roubar credenciais e carregar anexos maliciosos para aplicações em nuvem é mais fácil e muito mais rentável do que criar uma façanha cara e que consome muito tempo que tenha uma alta probabilidade de falhar.
Ele adicionou:
Mais de 99% dos ataques cibernéticos dependem da interação humana com o trabalho — fazer dos usuários individuais a última linha de defesa. Para reduzir o risco significativamente, as organizações precisam de uma abordagem geral de cibersegurança centrada nas pessoas que inclua treinamento efetivo de percepção de segurança e defesas em camadas que fornecem visibilidade em seus usuários mais atacados.
Preste atenção e proteja seu e-mail contra ataques!
Enquanto muitos ataques de phishing são projetados para parecer altamente legítimos, há maneiras de identificar o que poderia potencialmente ser um ataque malicioso.
Por exemplo, e-mails inesperados que são baseados em torno de um senso de urgência podem ser vistos como suspeitos. Se um usuário estiver em dúvida, ele poderia entrar em contato com o suposto remetente da mensagem para ver se ela é legítima.
Além disso, vale a pena notar que provedores de serviço em nuvem como a Microsoft e o Google não pedirão que usuários cliquem em links inesperados para digitar credenciais de login e outras informações. Se um usuário está desconfiando de uma URL de login suspeita, ele pode ignorar o link e ir direto até o próprio provedor e inserir seus detalhes lá.
Por fim, as organizações também deveriam assegurar que atualizações de software e pacotes de segurança fossem aplicados regularmente. Assim, caso alguém clique acidentalmente em um link, o malware que depende de vulnerabilidades conhecidas não consegue funcionar.
Afinal, você entendeu a importância de ter atenção ao abrir qualquer link enviado por e-mail?
Não deixe de compartilhar!
Fonte: ZDNet
Leia também: Pesquisadores encontram uma nova campanha de phishing que visa Spotify
