Cibersegurança para Negócios

29 de fev. de 2024

|

4

4

4

Leitura Rápida

Explorando as Águas Digitais: Percepções do Torneio Gone Phishing de 2023

Mesmo à medida que nossos mundos online se tornam mais complexos, os esquemas de phishing permanecem o tipo mais comum de crime cibernético, de acordo com o FBI

Torneio de Phishing
Torneio de Phishing
Torneio de Phishing

Atualmente, quase todo mundo que você conhece já clicou em um link malicioso ou respondeu a um texto suspeito em algum momento da vida, mesmo que não tenha caído totalmente no golpe ao inserir a senha ou baixar ransomware. Como podemos entender melhor por que o phishing é um crime tão eficaz? Por que algumas pessoas completam o falso "funil de vendas" do golpista e entregam suas joias digitais? Como podemos ajudar as pessoas a rejeitar a isca?

O torneio anual Gone Phishing Tournament (GPT) foi criado pelo serviço Terranova Security da Fortra e pela Microsoft para responder a essas perguntas. O torneio do ano passado, realizado em outubro de 2023, estabeleceu recordes e revelou algumas verdades difíceis sobre phishing nos anos 2020.
 

O que é o Gone Phishing Tournament?

O GPT é um evento gratuito de treinamento de simulação de phishing realizado anualmente, projetado para ajudar organizações e líderes de segurança a entenderem melhor suas áreas de alto risco. Ao fornecer dados de benchmarking de phishing com base nos resultados do evento, as organizações podem aprender sobre suas vulnerabilidades, comparar desempenhos e estabelecer objetivos realistas para mudanças comportamentais.

O GPT foca em uma única ameaça de phishing realista. A simulação de 2023 teve como alvo funcionários com uma falsa notificação de expiração de senha — uma tática cibernética cada vez mais comum. O email de phishing permitia que os destinatários mantivessem suas senhas atuais, contrariando as melhores práticas de cibersegurança, explorando nossa tendência de evitar o inconveniente de redefinir senhas.

Se o destinatário clicasse no link de senha, era direcionado a uma página de destino para inserir suas credenciais. Se as credenciais fossem enviadas, eles eram notificados de que faziam parte do Gone Phishing Tournament e que teriam sido vítimas de phishing se não fosse uma simulação.

Quase 300 organizações participaram do evento de 2023, tornando-o um dos maiores eventos de simulação de phishing do tipo. Mais de 1,37 milhão de pessoas receberam o e-mail de phishing, e essas mensagens foram enviadas em 31 idiomas.

Resultados e revelações

O recente GPT revelou uma tendência preocupante: apesar da maior conscientização, as organizações continuam suscetíveis a ataques de phishing. Pouco mais de 10% dos funcionários clicaram no link de phishing, um pequeno aumento em relação a 2022. 

Ainda mais alarmante foi a grande proporção de clicadores de link para os que enviaram senhas. Das pessoas que clicaram no link de phishing, 6 em cada 10 divulgaram suas credenciais. 

Embora os resultados mostrem por que o phishing continua a ser um problema persistente, todos nós podemos trabalhar juntos para ajudar uns aos outros a dizer não ao phishing.

Lições para segurança centrada na pessoa

Os resultados do GPT de 2023 destacam as limitações das proteções técnicas por si só. Embora essenciais, firewalls e medidas de segurança de e-mail não podem garantir a cibersegurança, especialmente no nível empresarial. Devemos desenvolver o conhecimento e os reflexos necessários para detectar e relatar constantemente ameaças de phishing. Aqui estão algumas lições que aprendemos com essa experiência. 

  1. Todos nós temos dias ruins: Mesmo as pessoas mais conscientes em segurança podem deixar passar sinais de alerta de phishing se escanearem mensagens rapidamente. A conclusão é clara — reserve tempo para ler e reagir adequadamente a cada email recebido.

  2. Escolha treinamento de segurança dinâmico: As plataformas atuais de treinamento em conscientização de segurança devem atualizar continuamente o conteúdo e lançar novos módulos refletindo as tendências em evolução do cibercrime.

  3. Simulações podem ser estimulantes: Uma simulação básica é uma ótima maneira de entender o nível de conhecimento da sua organização sobre ameaças de phishing.

  4. Comunicação é fundamental: Use ferramentas de comunicação para promover o programa de treinamento, enfatizando sua importância na proteção de informações sensíveis.

  5. Gamificação é sua aliada: Considere empregar técnicas de gamificação para manter os participantes engajados com as iniciativas de treinamento, tornando o aprendizado mais interativo e agradável.

Os resultados do GPT de 2023 mostram que a cibersegurança é uma responsabilidade compartilhada. Não há razão para desespero porque podemos trabalhar juntos para tornar a internet mais segura. Coletivamente, podemos construir defesas resilientes contra ataques de phishing e preparar as pessoas para a engenharia social. Baixe uma cópia do relatório aqui e participe do nosso webinar com a Fortra para saber mais!

Artigos em Destaque

Apresentação RSA

RSA: O valor que eu trago é que não sei nada

Gostou da nossa apresentação na RSA? Agora, obtenha as ferramentas! Abaixo estão templates prontos para descrição de cargo em Segurança para atrair os melhores talentos, além de um código promocional exclusivo da Convene para potencializar suas contratações. Quer mais dicas exclusivas? Inscreva-se agora!

Apresentação RSA

RSA: O valor que eu trago é que não sei nada

Gostou da nossa apresentação na RSA? Agora, obtenha as ferramentas! Abaixo estão templates prontos para descrição de cargo em Segurança para atrair os melhores talentos, além de um código promocional exclusivo da Convene para potencializar suas contratações. Quer mais dicas exclusivas? Inscreva-se agora!

Apresentação RSA

RSA: O valor que eu trago é que não sei nada

Gostou da nossa apresentação na RSA? Agora, obtenha as ferramentas! Abaixo estão templates prontos para descrição de cargo em Segurança para atrair os melhores talentos, além de um código promocional exclusivo da Convene para potencializar suas contratações. Quer mais dicas exclusivas? Inscreva-se agora!

How to Make Cybersecurity Training Accessible

Como Tornar o Treinamento em Cibersegurança Acessível

O seu programa de treinamento alcança todos os funcionários da sua organização?

How to Make Cybersecurity Training Accessible

Como Tornar o Treinamento em Cibersegurança Acessível

O seu programa de treinamento alcança todos os funcionários da sua organização?

How to Make Cybersecurity Training Accessible

Como Tornar o Treinamento em Cibersegurança Acessível

O seu programa de treinamento alcança todos os funcionários da sua organização?

Training and Awareness