0
0
Maioria dos ataques orientados por e de phishing de autenticação multifator foram bem-sucedidos no ano passado, indica estudo
Pesquisadores de segurança registraram um aumento de 76% no ano passado nas perdas financeiras decorrentes de ataques de phishing, que cada vez mais utilizam táticas sofisticadas e exploram a falta de conhecimento dos usuários.
A Proofpoint compilou seu relatório intitulado State of the Phish a partir de entrevistas com 7.500 consumidores e 1.050 profissionais de segurança de TI, bem como de 135 milhões de ataques de phishing simulados e mais de 18 milhões de e-mails relatados por usuários finais de clientes no ano passado. O levantamento revelou que 84% sofreram ao menos um ataque de phishing por e-mail bem-sucedido em 2022 e 54% lidaram com três ou mais ataques durante o período.
A fornecedora de sistemas de segurança cibernética destacou a ocorrência de ataques orientados por telefone (TOAD, na sigla em inglês) e o phishing de autenticação multifator (MFA) e os classificou como particularmente bem-sucedidos, registrando centenas de milhares desses ataques por dia em alguns pontos durante o ano.
“Em um ataque TOAD, os alvos recebem uma mensagem, geralmente contendo uma fatura ou alerta falso. A mensagem também contém um número de atendimento ao cliente para qualquer pessoa com dúvidas”, explica o relatório. “Se a vítima ligar para o número, ela falará com um cibercriminoso. Nossos pesquisadores viram uma série de próximos passos, incluindo orientar as vítimas a baixar malware, transferir dinheiro ou habilitar o acesso remoto.”
A Proofpoint disse que registrou mais de 600 mil ataques TOAD diários em seu pico. E embora não tenha contabilizado números para ataques de desvio de MFA, ela alerta que os operadores de ameaças agora têm uma variedade de métodos para realizar esses ataques e podem até mesmo usar a funcionalidade incorporada em kits de phishing disponíveis no mercado.
“Embora o phishing convencional continue sendo bem-sucedido, muitos operadores de ameaças mudaram para técnicas mais recentes, como ataques por telefone e proxies de phishing man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidas — que contornam a autenticação multifator. Essas técnicas têm sido usadas em ataques direcionados há anos, mas 2022 as viu implantadas em grande escala”, disse Ryan Kalember, vice-presidente executivo de estratégia de segurança cibernética da Proofpoint.
“Também observamos um aumento acentuado em campanhas sofisticadas de phishing multitoque, envolvendo conversas mais longas com várias personas. Seja um grupo alinhado com o estado-nação ou um ator do BEC, há muitos adversários dispostos a jogar o jogo longo”, acrescentou ele.
Os cibercriminosos também estão aproveitando a falta de conscientização sobre segurança e o desconhecimento dos funcionários. Mais de um terço dos usuários não consegue definir conceitos simples como “phishing”, “ransomware” e “malware”, enquanto mais de dois terços (44%) não sabem que uma marca familiar não torna o e-mail seguro.
Mais de três quartos (78%) usam dispositivos de trabalho para tarefas pessoais, enquanto 28% dos funcionários reutilizam senhas para várias contas relacionadas ao trabalho. Um terceiro realizou uma ação arriscada, como clicar em um link quando confrontado com um ataque, acrescentou a Proofpoint.
As organizações são parcialmente culpadas, já que apenas um terço (35%) delas disse que realiza exercícios de simulação de phishing, enquanto apenas cerca de metade (56%) executa um programa de conscientização de segurança para todos os funcionários.
O phishing pode criar sérios desafios para uma organização: 76% das empresas disseram ter sofrido um ataque de ransomware no ano passado, com 64% sofrendo uma infecção bem-sucedida e apenas metade conseguiu recuperar o acesso aos dados após pagar um resgate. Dois terços (65%) dos entrevistados disseram ter sofrido perda de dados devido a uma ação interna — talvez um reflexo dos riscos aumentados associados a uma força de trabalho distribuída e híbrida.
FONTE: CISO ADVISOR