No contexto de segurança cibernética, entende-se que o elo mais fraco da corrente é o próprio usuário (humano), já que este pode ser alvo da tática de engenharia social e assim, revelar dados confidenciais da empresa em que está inserido. Logo, como proteger as pessoas da organização contra estes ataques? Primeiro, é preciso entender o que é engenharia social e qual seu impacto.
O que é Engenharia Social?
Engenharia social é um tipo de abordagem empregada por criminosos cibernéticos para atacar as pessoas de uma organização, ao invés da tecnologia.
Assim, os criminosos utilizam técnicas da psicologia para conduzir indivíduos a realizarem ações de forma inconsciente, como compartilhar informações confidenciais e credenciais ou levar o usuário a clicar em um link para um site que instala ransomware automaticamente no dispositivo.
Impacto de ataques de engenharia social
Os ataques de engenharia social podem trazer diversas consequências negativas para a organização, seja no âmbito de segurança, quanto no financeiro. Para ilustrar os impactos e a frequência com que esse tipo de ataque acontece, alguns dados serão mostrados abaixo.
Ataques de Engenharia Social alcançaram o TOP 1 em 2022
De acordo com a LookingGlass Cyber and ISACA, ataques de engenharia social foram classificados como o principal ataque analisado em 2022.
98% dos ataques cibernéticos envolvem engenharia social
De acordo com a PurpleSec, 98% dos ataques cibernéticos envolvem engenharia social. Assim, pode-se entender que muitos colaboradores não possuem treinamento para identificar este tipo de ataque, o que justifica a alta porcentagem, já que a taxa de sucesso é grande e o esforço é mínimo.
Entre 70% a 90% dos vazamentos de dados são resultados de engenharia social
A GlobalSign reportou que mais de 70% dos vazamentos de dados são decorrentes de ataques de engenharia social.
Em contrapartida, a Knowbe4 indica que o valor pode chegar a 90%, logo, a engenharia social é uma abordagem popular para obter acesso a sistemas de alvos da organização. Em alguns casos, é mais fácil induzir um funcionário a entregar informações confidenciais – levando ao acesso ao sistema – do que comprometer o alvo através de vulnerabilidades ou fragilidades de segurança no nível tecnológico.
96% dos ataques de phishing utilizam e-mails
Adicionalmente, a Tessian revelou que 96% dos ataques de engenharia social utilizam e-mails, ou seja, os atacantes enviam mensagens maliciosas com o intuito de induzir o indivíduo a acessar um link ou executar algum anexo, o que pode, em certo nível, o comprometer o perímetro da organização.
95% dos ataques contra organizações obtêm sucesso através de técnicas de Spear Phishing para ter o acesso inicial
Spear phishing é um tipo de ataque de phishing que é direcionada a um alvo específico, sejam pessoas ou organizações. De acordo com a Security Intelligence, essa abordagem está por trás de 95% dos ataques de rede empresarial bem-sucedidos.
43% dos ataques se passam pela Microsoft
Geralmente, os e-mails de engenharia social são enviados com nomes de remetentes famosos, como a Microsoft. Desse modo, o intuito é se passar por uma empresa conhecida e confiável para aumentar as chances de que usuários legítimos caiam no ataque.
A Spamtitan reportou que a Microsoft é a identidade falsa preferida pelos invasores, já que cerca de 1,2 bilhão de pessoas usam o pacote Office.
Outras marcas frequentemente personificadas são PayPal, LinkedIn, Google e Chase.
Image data source: The Internet Crime Complaint Center’s 2021 Internet Crime Report.
Impacto financeiro de ataques de Phishing
A engenharia social pode ser realizada através de diferentes métodos de ataque, incluindo o uso de contas de e-mail legítimas comprometidas ou a representação delas com contas de imitação com ortografia aproximada. No Relatório de Crimes na Internet de 2021, o IC3 (Orgão do FBI - Internet Crime Complaint Center) relatou quase 20.000 reclamações de comprometimento de e-mail comercial (Business Email Compromise - BEC) /ABEC) e comprometimento de conta de e-mail (Email Account Compromise - EAC), com um impacto financeiro total de quase US$ 2,4 bilhões.
Os ataques de engenharia social têm uma consequência financeira relativamente alta, mesmo que não levem a violações de dados mais amplas. De acordo com a Security Info Watch, em média, as empresas perdem US$ 130.000 com roubo de dinheiro ou destruição de dados.
É importante ressaltar que a engenharia social pode levar a violações em sequência, uma atrás da outra, aumentando progressivamente sua amplitude. Nesses casos, a perda total pode chegar a centenas de milhares, senão milhões de dólares.
Como a Unidade 37 pode preparar o seu negócio?
Usuários mal-intencionados geralmente são mais bem-sucedidos em comprometer a organização por meio de Engenharia Social do que por meio da exploração ou aplicações tradicionais de infraestrutura. Para preparar uma empresa contra esse tipo de ameaça, usamos uma combinação de metodologias de avaliação de maturidade através de campanhas de phishing, com o objetivo de avaliar o senso de resposta dos colaboradores na tentativa de um ataque que vise obter informações ou interferir na infraestrutura da organização.
A Unidade 37 estrutura uma metodologia e um planejamento personalizados de ações para cada cenário, o que nos permite fornecer o treinamento adequado e metrificar a maturidade da equipe de segurança de forma mais precisa.
Antecipe ameaças, proteja seu negócio! Entre em contato conosco através do e-mail contato@unidade37.com.br e converse diretamente com um de nossos especialistas para dimensionar e planejar um projeto que faça sentido a sua organização.
