Phishing Awareness – Testando o Preparo dos Usuários

Recentemente fizemos o teste de Phishing Awareness em uma empresa da região Sul englobando usuários de todos os níveis hierárquicos. Os resultados encontrados são no mínimo interessantes, e apontam para a necessidade de melhor preparação de usuários para lidar com ameaças por email.

Phishing está presente em 91% dos ataques direcionados

Phishing é uma técnica de ataque baseada no envio de e-mails com aparência de legítimo, mas que foi construído com objetivo de invasão dos sistemas de TI ou roubo de informações bancárias (pessoais ou da empresa), ou ainda de propriedade intelectual da organização. Ao contrário do que muitos usuários pensam, apenas clicar em um link para abrir uma página já pode permitir o ataque silencioso, não sendo necessário baixar e executar um arquivo. Hoje o phishing é uma das principais portas de entrada de invasores nas organizações, estando envolvido em invasões responsáveis por prejuízos milionários em empresas. Uma recente pesquisa de uma empresa de segurança mostrou que em 2012 uma em cada 414 mensagens de correio são de phishing, o que significa que todos os usuários da organização serão expostos à phishing em algum momento.

Isto é particularmente preocupante quando somado as ATPs (Advanced Persistent Threats), que são ataques em profundidade, direcionados a alvos específicos e com longa duração, na qual o atacante tem meses, ou às vezes anos, para roubar a propriedade intelectual da organização. Uma pesquisa recente da Trend Micro mostrou que nada menos que 91% de todos os ataques direcionados começam com um email de Spear Phishing, que é um Pishing dirigido a uma ou mais pessoas específicas na organização.

O teste de Phishing Awareness envolveu o envio de e-mails de phishing baseado em exemplos reais enviados recentemente a usuários no Brasil. Enquanto o email de phishing real direcionava para um site hospedando malware, o email usado no teste direcionava para uma página segura com um alerta para o usuário e um texto educativo sobre como suspeitar de e-mails de phishing no futuro.

Usuários com acesso à informações confidenciais também abriram emails de phishing

Na empresa em questão, mesmo vários emails tendo ido parar na caixa de spam, 8,3% dos usuários clicaram nos links das mensagens. Estes usuários pertenciam à vários departamentos e níveis hierárquicos da organização, incluindo usuários em nível de gestão e de áreas críticas como RH e Financeiro. É interessante observar que nenhum dos usuários reportou qualquer suspeita para a área de TI, ou seja, havia um gap grande entre o comportamento esperado dos usuários e a prática.

E na sua organização, como seriam os resultados?