A psicologia dos ataques de phishing

Na segurança cibernética, a condição humana é o alvo mais frequente – e mais fácil. Para os agentes de ameaças, explorar seus alvos humanos geralmente é o fruto mais baixo, em vez de desenvolver e implantar uma exploração. Como resultado, os adversários geralmente visam os funcionários de uma organização primeiro, geralmente por meio de ataques de phishing.

Phishing é um ataque de engenharia social em que os agentes de ameaças enviam comunicações fraudulentas, geralmente e-mails, que parecem ser de uma fonte confiável e transmitem uma sensação de pontualidade ao leitor. O Relatório de Crimes na Web de 2021 do FBI analisou dados de 847.376 crimes cibernéticos relatados e encontrou um aumento acentuado no número de ataques de phishing, aumentando de 25.344 incidentes em 2017 para 323.972 em 2021.

A crescente sofisticação do phishing

Os primeiros ataques de phishing por email geralmente envolviam alguma mensagem de fraude mal redigida para induzir os usuários a enviar dinheiro para contas bancárias fraudulentas; desde então, eles evoluíram para ataques de engenharia social sofisticados e bem elaborados. No mundo virtual de hoje, todos sabem que o phishing é ruim, mas a confiança ainda é o main vetor desses ataques. Os atores de ameaças pesquisam seus alvos; eles examinam perfis e publicações de funcionários públicos, relacionamentos com fornecedores e se o departamento de RH de uma organização u.s. um tipo específico de portal para transmitir informações. A base para todos esses phishes em potencial é a confiança implícita que os funcionários têm no relacionamento pré-existente.

A semelhança desses ataques não reduz seu perigo. Verizon informou que o phishing foi o vetor de ataque inicial para 80% dos incidentes de segurança relatados em 2020 e foi um dos vetores mais comuns para ransomware, um ataque de malware malicioso que criptografa dados. O phishing também foi o ponto de entrada para 22% das violações de dados em 2020.

Além da confiança implícita de vir de um remetente conhecido, um email de phishing bem-sucedido ataca as emoções do leitor, criando um senso de urgência ao aplicar pressão suficiente para enganar um usuário diligente. Existem várias maneiras de aplicar pressão para influenciar funcionários de outra forma razoáveis. E-mails falsos que parecem ser de uma pessoa em posição de autoridade usam a influência que chefes e departamentos como RH têm contra o leitor. Situações sociais como reciprocidade, talvez ajudar um colega de trabalho e consistência, pagar seu fornecedor ou contratado em dia para manter um bom relacionamento, também podem influenciar o leitor a clicar em um hyperlink em um email de phishing.

De acordo com o relatório da Tessian Analysis Psicologia do Erro Humano 2022, um acompanhamento de seu relatório de 2020 com a Universidade de Stanford, 52% das pessoas clicaram em um email de phishing porque parecia ter vindo de um executivo sênior da empresa – acima dos 41% em 2020. Além disso, os funcionários foram mais propensos a erros quando fatigados, que os agentes de ameaças exploram regularmente. Tessian relatou em 2021 que a maioria dos ataques de phishing são enviados entre 14h e 18h, a queda pós-almoço quando os funcionários provavelmente estão cansados ​​ou distraídos.

Os funcionários podem hesitar em relatar o incidente de phishing depois de perceberem que agiram sem confiança e foram enganados. Eles provavelmente se sentirão mal e podem até temer represálias de sua organização. No entanto, relatar o incidente é o melhor cenário. Fazer com que os funcionários sejam vítimas de tentativas de phishing e varrê-los para debaixo do tapete é como um evento cibernético pode se transformar em um incidente cibernético em larga escala. Em vez disso, as organizações devem criar uma cultura em que a segurança cibernética seja uma responsabilidade compartilhada e promover o diálogo aberto sobre phishing e outras ameaças cibernéticas.

A cibersegurança é difícil, mas aprender sobre ela não precisa ser

As organizações que são bem-sucedidas em discutir a segurança cibernética tornam o tema relacionável e acessível para todos os funcionários. Para facilitar o diálogo aberto, as organizações devem empregar uma estratégia de defesa em profundidade; esta é uma combinação de controles técnicos e não técnicos que reduzem, mitigam e respondem a ameaças de segurança cibernética. O treinamento de conscientização de segurança é apenas uma peça do quebra-cabeça de defesa em profundidade. Para realmente construir um programa de segurança robusto, muitos controles de mitigação diferentes devem ser introduzidos no ambiente de uma empresa.

O treinamento anual de conscientização de segurança não leva em conta adequadamente o elemento humano explorado por ataques de phishing. Um exemplo de um programa de treinamento envolvente é da organização de conscientização de segurança, Curricula, que u.s. técnicas de ciência comportamental, como contar histórias, para causar impacto no treinamento dos funcionários. O objetivo da abordagem de narrativa do Currículo é impactar os funcionários e permitir (ou influenciar, tomar emprestado dos agentes de ameaças) que eles se lembrem e recuperem as informações a serem usadas em cenários do mundo actual. Sua abordagem tem mérito – um Currículos reportados pelo cliente que depois de lançar um programa de treinamento e simulação de phishing, eles viram uma redução na taxa de cliques de 32% para 3% entre mais de 600 funcionários ao longo de seis meses.

Quando devidamente armados com ferramentas, conhecimento e recursos, os funcionários anteriormente distraídos e desengajados podem ser sua maior linha de defesa – um firewall humano contra phishing, ransomware e malware.

Para ter sucesso, a administração deve estar envolvida no processo – e treinamento

Parte da compreensão da condição humana é entender que você precisará do orçamento e das ferramentas para proteger recursos técnicos que previnam, mitiguem e transfiram riscos digitais para otimizar sua cultura de segurança. As organizações podem ter uma falsa sensação de segurança ao serem aprovadas em uma auditoria ou certificação de segurança. Ainda assim, como os últimos anos mostraram, os riscos digitais estão em constante evolução e os agentes de ameaças não hesitarão em capitalizar tragédias nacionais ou globais para transformar o crime cibernético em lucro. Atores de ameaças rotineiramente visam organizações por causa de suas más escolhas de tecnologia e desconsideram fatores como setor, tamanho ou tipo de dados que protegem.

Além disso, os executivos de nível C não estão imunes a ataques de phishing bem-sucedidos. Spear phishing ou ataques de caça às baleias têm como alvo executivos específicos de uma organização. Em 2017 foi anunciado que duas empresas de tecnologia, amplamente especulado para ser Google e Fb, foi vítima de um ataque de spear phishing no valor de US$ 100 milhões. O procurador dos EUA, Joon Kim, chamou o evento de alerta de que qualquer pessoa pode ser vítima de phishing.

A economia virtual continua a se transformar em um ritmo acelerado. A IDC informouque até 2023, 75% das organizações terão roteiros abrangentes de implementação da transformação virtual, acima dos 27% atuais.

Para que as organizações realmente prosperem e enfrentem a próxima fase de riscos digitais que acompanharão essas transformações, elas devem primeiro criar uma distinctiveness cultura de segurança e fornecer aos funcionários as ferramentas para reconhecer, reagir e relatar phishing e outros ataques. Além disso, colocar em camadas as ferramentas apropriadas, como autenticação multifator, detecção e resposta de endpoint, e até mesmo um parceiro de seguro cibernético sólido, pode criar uma estratégia de defesa profunda em camadas. Essa abordagem de defesa em camadas ajudará as organizações a impedir que um evento cibernético, como phishing, se transforme em um incidente cibernético que interrompa os negócios, como uma violação de dados ou ataque de ransomware.

Tommy Johnson é engenheiro de segurança cibernética na Coalition.