Embora nem todos os ciberataques sejam bem-sucedidos, aqueles que o são têm frequentemente consequências devastadoras tanto para as organizações como para os seus clientes. E no ano passado, mais de metade (54%) dos ataques de phishing bem-sucedidos resultaram numa quebra de dados de clientes, e 48% resultaram em credenciais e contas comprometidas. No total, 83% das organizações relataram ter sofrido um ataque de phishing bem-sucedido em 2021.
Estes dados baseiam-se no State of the Phish Report 2022 da Proofpoint, realizado através de um inquérito a 600 profissionais de segurança informática na Austrália, França, Alemanha, Japão, Espanha, Reino Unido e EUA, que foram questionados sobre as experiências da sua organização em 2021.
O relatório assinala outras consequências comuns dos ataques de phishing, incluindo 46% das infeções por ransomware, 44% das perdas de dados e de propriedade intelectual, e 27% das infeções por malware que não sejam ransomware.
De acordo com Ruta Cizinauskaite, investigadora e especialista em cibersegurança da Atlas VPN, “os ataques de engenharia social como o phishing dependem em grande medida de fatores humanos para serem bem-sucedidos, tais como um funcionário clicar num link malicioso. Por conseguinte, a forma mais eficaz de proteção contra este tipo de ataques é investir na formação dos funcionários para que saibam reconhecer as tentativas de ciberataque e como agir quando ocorrem.
Phishing em massa, os ataques mais comuns
Embora os cibercriminosos tentassem vários métodos de phishing para atrair as vítimas, alguns tipos de ataques foram mais comuns do que outros. Destes, o phishing em massa foi o ataque mais frequente. No total, 86% das empresas sofreram este tipo de ataque no ano passado.
Em tentativas de phishing em massa, os cibercriminosos enviam e-mails genéricos de phishing a um grande número de alvos na esperança de que pelo menos alguns caíssem no esquema.
O segundo tipo mais comum de ataques de phishing que as organizações enfrentaram foi o spear phishing (phishing direcionado) e o whaling. Este tipo de ataque direcionado afetou 79 por cento das empresas em todo o mundo.
Ao contrário do phishing em massa, o spear phishing é um ataque dirigido em que os cibercriminosos pesquisaram previamente a sua vítima e utilizam informações pessoais que encontraram para tornar a sua mensagem mais credível. Entretanto, os ataques de phishing “ whaling“, também conhecidos como fraude do CEO, visam especialmente indivíduos de alto perfil para maximizar os lucros.
Os ataques de ransomware por e-mail ficaram em terceiro lugar na lista e afetaram 78% das organizações. Em paralelo, ataques que comprometeram o correio eletrónico comercial (BEC) ocorreram em 77% das empresas. Contudo, o correio eletrónico não foi o único meio pelo qual os criminosos tentaram imitar as vítimas. Outros tipos de ataques de phishing que atormentaram organizações no ano passado incluíram smishing (via SMS, 74%), ataques às redes sociais (74%), vishing (via chamadas telefónicas, que ocorreram em 69% das empresas) e descarregamentos maliciosos de USB (64%).