O que você faria se soubesse que os seus usuários estão cientes de riscos relacionados à cibersegurança, mas que realizam ações arriscadas mesmo assim? Você ajustaria o seu programa de conscientização quanto à segurança? Como você mudaria a sua estratégia de cibersegurança? E como você motivaria os seus usuários a priorizar a cibersegurança?
Em seu 10º relatório anual State of the Phish, a Proofpoint reuniu dados novos e ampliou o âmbito da pesquisa para lançar luz sobre como comportamentos arriscados viabilizam o cenário de ameaças atual.
Houve diferenças significativas entre os 15 países que pesquisamos, inclusive o Brasil. Esperamos que os insights que reunimos possam ajudar você a responder algumas das questões acima e mais. Resumimos aqui algumas descobertas importantes sobre o Brasil.
Como compilamos o relatório deste ano
Nosso relatório global State of the Phish de 2024 contém dados derivados de pesquisas e produtos Proofpoint Threat Protection, além de outras fontes, como:
- Uma pesquisa global encomendada com as opiniões de 7.500 trabalhadores adultos e 1.050 profissionais de TI de 15 países
- 183 milhões de ataques de phishing simulado enviados por clientes da Proofpoint
- Mais de 24 milhões de e-mails suspeitos denunciados pelos usuários finais de nossos clientes
Agora vamos dar uma olhada rápida em alguns dos destaques do relatório State of the Phish, 2024: Brasil.
Resolução de problemas criativa: um fator que contribui para um comportamento arriscado?
Como os usuários na maioria dos países, os brasileiros não são avessos ao risco, com 72% realizando ações arriscadas sabendo perfeitamente que são arriscadas. Um possível fator que contribui para esse comportamento é o notório “jeitinho brasileiro”. Essa expressão refere-se à propensão dos brasileiros a buscar maneiras criativas de contornar obstáculos e fazer seu trabalho. Isso inclui burlar regras e políticas de segurança, especialmente quando estas dificultam o cumprimento de um prazo.
Com efeito, 38% dos brasileiros afirmaram que a necessidade de cumprir um prazo urgente foi a razão pela qual eles realizaram ações arriscadas. O mesmo não ocorreu com seus colegas do restante do mundo, que citaram comodidade e economia de tempo como principais motivos.
No front do phishing, um cenário misto
Em nosso relatório State of the Phish anterior, 82% das organizações brasileiras relataram ter sofrido ataques de phishing em massa. Em nossa pesquisa mais recente, apenas 68% relataram o mesmo. E embora 66% das empresas brasileiras afirmem ter sofrido um ataque de phishing bem-sucedido, isso constitui uma queda em relação aos 78% do ano anterior.
No entanto, os ataques de phishing direcionado aumentaram 2 pontos de um ano para outro, chegando a 62%. Essa é uma má notícia, pois esses ataques, também conhecidos como spear phishing, tendem a ser melhor sucedidos que a abordagem de phishing em massa porque os malfeitores dedicam mais tempo ao desenvolvimento de táticas convincentes e bem elaboradas.
Ataques de BEC em alta
As fraudes de comprometimento de e-mail corporativo (BEC) são uma das ameaças mais onerosas para organizações de todo o mundo. Globalmente, os resultados de nossa pesquisa mostram que menos empresas sofreram um ataque de BEC em 2023. Contudo, países não falantes de inglês tiveram um aumento. E o Brasil teve um salto impressionante de 8 pontos de um ano para outro.
O percentual de organizações brasileiras que relataram ataques de BEC atingiu 68% em 2023 (contra 74% globalmente). Embora 68% seja um dos menores percentuais entre os 15 países incluídos em nossa pesquisa, o aumento nos ataques no Brasil e em outras regiões é uma tendência a ser observada. Ele provavelmente está ligado a atacantes que utilizam ferramentas com inteligência artificial generativa, como ChatGPT, para escrever iscas de e-mail convincentes em vários idiomas.
Uma outra preocupação: muito embora os ataques de BEC estejam em alta, descobrimos que apenas 16% das organizações brasileiras estão cobrindo técnicas de engenharia social como parte de suas iniciativas de conscientização quanto à segurança.
Ataques TOAD ainda são raros — por enquanto
Os ataques do tipo entrega de ataques orientados para telefones (TOAD) chamaram muita atenção nos últimos anos e com razão. Tratam-se de ataques de phishing que utilizam uma isca inicial para direcionar o usuário a fazer contato adicional por meio do telefone. Em geral, países em que o inglês não é o idioma nativo são menos visados por ataques de TOAD porque estes frequentemente exigem que os perpetradores falem diretamente com suas vítimas.
Ano passado, organizações brasileiras tiveram muito menos ataques TOAD do que a média global (46% contra 67%). Porém, a inteligência artificial generativa pode mudar esse cenário em breve, visto que essa tecnologia pode tornar viabilizar traduções de voz em tempo real.
Uma falsa sensação de segurança com a MFA?
Uma outra tendência preocupante no Brasil é que 94% das organizações considera que a autenticação por múltiplos fatores (MFA) é a solução definitiva para sequestros de contas e outras ameaças baseadas em identidade. Esse percentual é superior à média global de 89%.
É bom que quase todas as organizações do Brasil (96%) afirmem utilizar a MFA. Contudo, pesquisadores da Proofpoint viram em 2023 mais de 1 milhão de ataques cibernéticos por mês que contornaram controles de MFA utilizando um kit de phishing como serviço chamado EvilProxy. A conclusão, portanto, é que a MFA não proporciona proteção completa — e acreditar no contrário pode gerar uma falsa sensação de segurança para usuários e profissionais de segurança.
Quer mais insights?
Faça o download do State of the Phish, 2024: Brasil para saber mais sobre as maiores ameaças cibernéticas regionais e como transformar os seus usuários na sua melhor defesa.
Obtenha uma avaliação rápida de risco de e-mail
Precisa de ajuda para entender se essas ameaças estão afetando a sua organização? Inscreva-se para uma avaliação rápida de risco de e-mail da Proofpoint para obter visibilidade e insights sobre quais ataques são direcionados contra você.