O décimo relatório anual State of the Phish 2024: Europa e Médio Oriente, da Proofpoint, representada em exclusivo pela Exclusive Networks em Portugal, diz que 71% dos funcionários admitiram comportamento e ações perigosas, como a partilha de palavras-passe e o clique em ligações desconhecidas, ou o fornecimento de credenciais a uma fonte não segura.
Mas o número ainda mais relevante é que 96% deles fizeram-no com plena consciência do risco.
“O estudo revela que a maioria dos utilizadores na Europa e no Médio Oriente não sabe se a segurança é da sua responsabilidade ou de outra pessoa. E esta falta de clareza pode ter consequências desastrosas. Os nossos dados mostram correlações impressionantes entre atitudes e resultados em toda a região”, destaca Elizabeth Alves, Diretora Comercial da Exclusive Networks Portugal. “Mais importante ainda, o estudo mostra que, quando os utilizadores têm de escolher diariamente entre segurança e conveniência, na maioria das vezes, escolhem a comodidade.”
O panorama de ameaças na Europa e Médio Oriente
No ano passado, as burlas de Business Email Compromise (BEC) diminuíram a nível mundial, mas registou-se um aumento dos ataques em países que não falam inglês. Este facto pode estar relacionado com o aumento de ferramentas de IA generativas, como o ChatGPT, que podem ser utilizadas para compor mensagens de email mais atrativas e convincentes.
- Globalmente, 75% das organizações foram vítimas de pelo menos um ataque de phishing, contra 88% em 2022.
- Mais de 1 milhão de ataques são lançados por mês através da infraestrutura EvilProxy com MFA. No entanto, 89% dos profissionais de segurança ainda acreditam que a autenticação multifator oferece uma vantagem significativa em termos de segurança.
- 10 milhões de mensagens TOAD enviadas todos os meses
- A Microsoft continua a ser a marca mais atacada, com 68 milhões de mensagens maliciosas associadas à marca ou aos seus produtos.
- 66 milhões de ataques BEC detetados pela Proofpoint, em média, por mês.
As principais conclusões a nível mundial
- Os utilizadores dos Emirados Árabes Unidos foram os mais propensos a correr riscos de todos os países inquiridos, com 86% a admitirem ter tomado alguma decisão perigosa.
- As empresas dos Emirados Árabes Unidos também registaram o maior número de ataques de phishing direcionados, o que realça a estreita relação entre a sensibilização dos utilizadores e os níveis de segurança.
- As organizações suecas sofreram as taxas mais elevadas de tentativas de infeção por ransomware de todos os países inquiridos, com 92% das empresas atacadas. 82% dos funcionários têm comportamentos e ações de risco na Suécia. 84% das empresas suecas sofreram um ataque TOAD, a percentagem mais elevada da região.
- As empresas italianas registaram o maior aumento no número de infeções por ransomware bem-sucedidas, de 44% em 2022 para 71% em 2023, apesar de enfrentarem o mesmo volume de ataques que as empresas de outros países.
- 78% das empresas alemãs são vítimas de ataques telefónicos (ou TOADs), mas apenas 21% os utilizam como tema de formação.
- A reutilização de palavras-passe, o download de anexos proveniente de fontes não seguras, o upload de informação para a espaços não aprovados, a partilha e a reutilização de palavras-passe e o acesso a websites inapropriados são os 5 comportamentos de maior risco citados pelas equipas de TI.
- 85% dos profissionais de segurança afirmaram que a maioria dos empregados sabe que a segurança é da sua responsabilidade, mas 59% dos utilizadores não sabiam ou disseram que não tinham qualquer responsabilidade por ela.
- 58% dos utilizadores que tomaram medidas perigosas adotaram um comportamento que os tornaria vulneráveis a táticas comuns de engenharia social.
- 69% das organizações foram infetadas por ransomware.
As empresas da Europa e do Médio Oriente comunicaram um aumento das consequências negativas de ataques bem-sucedidos. As sanções financeiras aumentaram 122%, uma percentagem ligeiramente inferior à média global, o que pode indicar que as coimas impostas ao abrigo do RGPD já teriam sido pagas em anos anteriores.
“Os títulos dos jornais centram-se frequentemente nas estratégias inteligentes de engenharia social e nas vulnerabilidades de zero day utilizadas pelos cibercriminosos, mas as pessoas são uma componente essencial de qualquer estratégia de defesa eficaz, porque também podem ser as mais vulneráveis. Podem cometer erros, ser vítimas de burlas ou simplesmente ignorar as boas práticas de segurança”, sublinha Elizabeth Alves.
O que leva os utilizadores a realizarem ações perigosas?
Poupar tempo foi a resposta mais frequente, seguida de perto pela conveniência. No Reino Unido, a conveniência ficou em primeiro lugar e a poupança de tempo em segundo. A lista inclui ainda o cumprimento de prazos, ganhar dinheiro e atingir um objetivo financeiro.
Fraca aposta na formação
Embora a maioria das organizações tenha sofrido ataques por telefone ou TOAD, menos de um terço deu formação sobre esta tática. Na Alemanha, 78% das organizações sofreram ataques TOAD, mas apenas 21% os utilizaram como tópico de formação em segurança – uma das maiores disparidades entre ataques diários e tópicos de formação.
De um modo geral, em toda a região, é dedicado mais tempo à formação em segurança. A Espanha registou o maior aumento, com um aumento de 120% no número de empresas que despendem três horas ou mais por ano em formação em segurança.
Aliás, o estudo mostra que a percentagem de empresas que oferecem formação sobre estes tópicos essenciais diminuiu em 2023, face ao ano anterior. A formação em melhores práticas e palavras-passe passou de 34% em 2022,
para 30% o ano passado. A formação sobre engenharia social reduziu de 23% para 20% e a formação sobre as melhores práticas de segurança na internet caiu de 34% em 2022 para 27% em 2023.