9 em cada 10 empresas serão vítimas de phishing em 2022

Até 92% das organizações em todo o mundo foram vítimas de um ataque de phishing bem-sucedido em seus ambientes do Microsoft 365 no ano passado. 98% dos gerentes de segurança cibernética expressam frustração com as tecnologias de gateway de e-mail seguro (SEG). É o que revelou um novo estudo publicado pela Egress.

O impacto dos ataques de phishing é multidirecional e, juntamente com problemas puramente técnicos, também leva a efeitos negativos em termos de retenção e motivação do pessoal.

De acordo com o Egress Email Security Risks Report 2023, para 58% dos gerentes de segurança cibernética, as tecnologias SEG tradicionais não são eficazes para impedir que os funcionários enviem acidentalmente um e-mail para a pessoa errada ou com o anexo errado. 53% admitem que há muitos ataques de phishing que contornam com sucesso seu SEG.

Os dados de saída também mostram que quase metade (44%) dos e-mails de phishing são classificados como “técnicos”, o que significa que são projetados especificamente para ignorar as proteções baseadas em assinatura. Mais de um quarto (28%) foram enviados de domínios legítimos comprometidos. De todos os ataques de controle de contas, de acordo com a Egress, 85% começam com um e-mail de phishing.

vazamento de dados

Em casos de vazamento de dados, 91% dos gerentes de segurança cibernética notaram que os dados vazaram de e-mails enviados, embora isso tenha ocorrido devido a erros ou tomada de riscos, e não a ações maliciosas de pessoas internas.

De acordo com as estatísticas do Egress, as três principais causas desses incidentes são comportamento arriscado dos funcionários (ou seja, transferência de dados para contas pessoais de teletrabalho), erro humano (envio de informações confidenciais por e-mail para destinatários incorretos) e mineração de dados maliciosa (como transferência de dados para um novo local de trabalho ).

Dano multidirecional

No geral, a Egress descobriu que 86% das organizações pesquisadas foram impactadas negativamente por e-mails de phishing. Os efeitos são multicamadas. 54% sofreram perdas financeiras devido à desistência do cliente após um ataque de phishing bem-sucedido. Além disso, 40% dos incidentes de phishing bem-sucedidos resultaram na saída de funcionários da empresa. Quase todos os gerentes de segurança cibernética (99%) dizem estar estressados ​​com a segurança de e-mail.

“A crescente sofisticação dos e-mails de phishing é uma grande ameaça para as organizações e precisa ser abordada com urgência”, disse Jack Chapman, vice-presidente de inteligência de ameaças da Egress.

“A detecção de ataque baseada em assinatura pode filtrar muitos e-mails de phishing com anexos e links maliciosos conhecidos, mas os cibercriminosos ficam um passo à frente”, acrescentou Chapman.

Os invasores estão evoluindo suas táticas e estão cada vez mais recorrendo a ataques baseados em texto usando engenharia social e esquemas de exploração de confiança – por exemplo, um endereço de e-mail da cadeia de suprimentos comprometido.

Um futuro sombrio

No futuro, os ataques de phishing se tornarão mais sofisticados à medida que os cibercriminosos passarem a usar tecnologias baseadas em IA. Isso pode ser, por exemplo, chatbots bem treinados. É assim que os criminosos automatizam e refinam seus ataques.

O treinamento não ajuda o suficiente

Além das questões de SEG, os gestores também se preocupam com os programas de conscientização e treinamento de segurança (SA&T) para os funcionários. 98% afirmam fazer algum tipo de treinamento de RH. Mas isso não acontece sem problemas.

Por exemplo, 46% dos gerentes dizem que os funcionários faltam aos cursos o mais rápido possível. 29% observaram que os funcionários acham o treinamento tedioso. Outros 37% admitem falta de confiança de que as pessoas se lembrem do que aprenderam.

A Egress concluiu em seu relatório que, apesar dos investimentos em segurança de e-mail e SA&T, as empresas continuam altamente vulneráveis ​​a ataques de phishing, erro humano e roubo de dados.