Hoje temos o prazer de lançar nosso mais recente relatório State of the Phish. Atualmente em seu nono ano, o State of the Phish é o mais amplo e detalhado exame do risco e da resiliência do usuário na área de cibersegurança.
Esse relatório se baseia em duas fontes de dados principais para uma visão completa dos riscos cibernéticos associados a pessoas. Para explorar as convicções e a conscientização das pessoas quanto à segurança, nós fizemos uma pesquisa com 7.500 adultos economicamente ativos e 1.050 profissionais de segurança de 15 países. Para capturar o comportamento dos usuários em tempo real, nós analisamos 135 milhões de ataques simulados de phishing enviados por nossos clientes, juntamente com 18 milhões de e-mails denunciados por seus usuários finais.
Seguem algumas de nossas principais descobertas globais:
- Até mesmo conceitos básicos continuam não sendo compreendidos – mais de um terço dos usuários não consegue definir “malware”, “phishing” ou “ransomware”.
- 44% das pessoas acham que um e-mail é seguro quando contém uma marca familiar; porém, mais de 30 milhões de mensagens maliciosas enviadas em 2022 envolveram marcas ou produtos da Microsoft, um dos nomes mais familiares do setor de tecnologia.
- Atacantes fizeram entre 300.000 e 400.000 tentativas de phishing baseadas em telefone diariamente, com um pico de 600.000 por dia em agosto de 2022.
- As perdas financeiras diretas resultantes de phishing bem-sucedido aumentaram 76%.
- Mais de 1 em 10 ameaças foi primeiro identificada e denunciada por um usuário final.
Pela primeira vez, estamos divulgando resumos regionais de nossa pesquisa, juntamente com o relatório global. A edição brasileira do relatório tem o objetivo de revelar como nuances locais podem afetar deficiências de conscientização do usuário.
Segue uma amostra de duas descobertas importantes do State of the Phish: Brasil.
1. As organizações brasileiras são menos propensas a sofrer ataques de phishing bem-sucedidos
O Brasil, com sua população numerosa e uma economia dinâmica, é um alvo atraente para ciberatacantes. No entanto, com base nos dados de nossa pesquisa, as organizações brasileiras estão em condições melhores do que suas contrapartes globais.
Elas reportaram menos ciberataques bem-sucedidos do que a média global em todas as categorias acompanhadas por nosso estudo. (Ainda assim, é importante observar que os percentuais são assustadoramente altos.) A diferença entre o Brasil e o mundo como um todo foi especialmente expressiva em ataques de comprometimento de e-mail corporativo (BEC) e ataques de cadeia de fornecimento.
Porém, ainda há o que melhorar. Aproximadamente 70% das organizações do Brasil sofreram pelo menos um ataque de phishing bem-sucedido em 2022.
2. No cenário global, as organizações brasileiras destacam-se por seu compromisso de oferecer treinamento de segurança para todos os usuários
Nem todas as organizações oferecem treinamento para conscientização quanto à segurança para cada usuário. Porém, as organizações brasileiras foram muito mais propensas a reportar que treinam todos os seus usuários, em vez de apenas alguns, do que suas contrapartes globais. De fato, nesse aspecto do treinamento de usuários, elas apresentaram um percentual mais alto que o de qualquer outro país de nosso estudo.
Trata-se de uma tendência claramente positiva. Infelizmente, essas médias promissoras não significam uma compreensão melhor de princípios comuns de cibersegurança. Quando solicitados a definir termos e conceitos fundamentais, os usuários desse país ficaram abaixo da média — em alguns casos, por margens de dois dígitos. Isso levanta determinadas questões sobre a eficácia de suas iniciativas de conscientização quanto à segurança
As organizações brasileiras também tendem a realizar menos simulações de phishing, smishing e vishing do que as dos demais países que pesquisamos. Isso significa que elas estão perdendo oportunidades fundamentais de aumentar a resiliência de seus usuários contra ataques comuns no mundo real.
Ou seja, as organizações do Brasil podem ser rigorosas no que se refere a treinamento para conscientização quanto à segurança. Contudo, para muitas, a qualidade e a relevância desse treinamento parecem duvidosas.
Obtenha o seu exemplar de State of the Phish: Brasil
Para um exame mais detalhado de tendências do cenário de ameaças e da conscientização quanto à segurança, faça o download do seu exemplar de State of the Phish: Brasil. Você obterá insights e orientações sobre como criar um programa de segurança adaptado aos riscos dos usuários e às ameaças da vida real. O relatório gratuito está disponível aqui.