A Kaspersky explora as maneiras pelas quais os hackers podem confundir os usuários por meio de modelos de e-mail aparentemente legítimos.
Embora o treinamento adequado de segurança cibernética seja imperativo para manter as organizações seguras, os usuários ainda podem ficar confusos quando se trata de diferentes tipos de tentativas de ataques de phishing, levando a possíveis violações de dados. Kaspersky encontrou como parte de sua plataforma de conscientização de segurança e dados do simulador de phishing os e-mails que os usuários acham mais difíceis de entender quando se trata de tentativas de ataques de phishing.
Com quase todos (91%) dos ataques cibernéticos começando com uma tentativa de e-mail de phishing , é crucial que as organizações e seus funcionários consigam identificar e eliminar uma possível violação antes que ela aconteça.
“A simulação de phishing é uma das maneiras mais simples de rastrear a resiliência cibernética dos funcionários e avaliar a eficiência de seu treinamento em segurança cibernética”, comenta Elena Molchanova, chefe de desenvolvimento de negócios de conscientização de segurança da Kaspersky. “No entanto, existem aspectos significativos que devem ser considerados ao realizar essa avaliação para torná-la realmente impactante.”
Os métodos de phishing mais confusos para os funcionários
Cobertura de segurança de leitura obrigatória
De acordo com a Kaspersky, 16% a 18% dos funcionários clicam em um modelo de email enviado por um adversário que parece ser problemas de entrega ou erros relacionados à tecnologia. É quando um cibercriminoso é capaz de tirar proveito da falta de conhecimento de um usuário sobre o assunto para obter acesso às suas informações confidenciais. De acordo com a empresa de segurança cibernética, os cinco e-mails mais clicados pelo simulador de phishing foram:
Assunto: Falha na tentativa de entrega (18,5%)
Assunto: E-mails não entregues devido a servidores de e-mail sobrecarregados (18%)
Assunto: Pesquisa online com funcionários (18%)
Assunto: Lembrete: Novo código de vestimenta para toda a empresa (17,5%)
Assunto: Atenção a todos os funcionários: plano de evacuação do novo edifício (16%)
Na maioria desses casos, os funcionários examinaram esses assuntos em um nível superficial, pois pareciam vir de fontes confiáveis, como o departamento de RH da empresa ou o Google, mas eram modelos de e-mail cuidadosamente elaborados tentando passar por legítimos.
“Como os métodos usados pelos cibercriminosos estão mudando constantemente, a simulação precisa refletir as tendências atualizadas da engenharia social, juntamente com cenários comuns de crimes cibernéticos”, disse Molchanova. “É crucial que os ataques simulados sejam realizados regularmente e complementados com treinamento apropriado – para que os usuários desenvolvam uma forte habilidade de vigilância que lhes permita evitar cair em ataques direcionados ou no chamado spear phishing .”
Outros assuntos de phishing que receberam cliques de acordo com a Kaspersky foram: confirmações de reservas de um serviço de reservas (11%), uma notificação sobre a colocação de um pedido (11%) e um anúncio de concurso da IKEA (10%).
Maneiras de evitar ser vítima
A Kaspersky incentiva as organizações a aplicar as melhores práticas de e-mail sempre que possível, lembrando os funcionários dos sinais comuns de e-mails de phishing, como uma linha de assunto atraente, erros de digitação ou gramaticais, links suspeitos e endereços de remetentes inconsistentes. Além disso, os usuários devem ser bem versados em princípios de segurança de confiança zero e não devem aceitar qualquer comunicação pelo valor de face até que seja verificada a sua legitimidade. Uma maneira de os usuários fazerem isso é garantir que o endereço de onde o email foi enviado seja autêntico e passar o mouse para ver se algum arquivo enviado está em um formato executável.
A empresa de segurança cibernética também defende que os funcionários denunciem qualquer e-mail suspeito de phishing ao seu respectivo departamento de TI e que as organizações forneçam à sua força de trabalho conhecimentos básicos de segurança cibernética. Por fim, é recomendável que todos os dispositivos estejam equipados com o software antivírus adequado em caso de clique acidental. Ao selecionar um tipo de software preventivo com recursos antispam, a capacidade de rastrear comportamentos suspeitos e criar uma cópia de backup de seus arquivos em caso de ataques de ransomware, as empresas podem garantir que, mesmo no caso de um clique acidental, seus dados confidenciais permaneçam seguro.
Sem comentários:
Enviar um comentário