Há muita sabedoria e conhecimento no setor de segurança sobre phishing de e-mail, sabedoria que a F-Secure queria desafiar com dados concretos. Para isso, a F-Secure realizou um estudo visando 82.402 indivíduos de quatro organizações com um dos quatro e-mails de phishing. Registrando se eles eram suscetíveis (clicando nos links), fizemos algumas perguntas a esses clicadores e depois interpretamos os resultados.

Os resultados do estudo reforçaram alguns pensamentos clássicos, ninguém ficará surpreso que o e-mail interno de RH simulado ameaçando as férias anuais tenha sido o mais eficaz, no entanto, alguns resultados podem desafiar a intuição do setor. O mais impressionante desses resultados é que esses empregados em funções relacionadas a TI eram tão suscetíveis quanto aqueles no restante da empresa.

Duas das organizações visadas tinham funcionários em departamentos descritos como TI e DevOps; funções que se concentram em tecnologia de computador. Em uma dessas organizações, esses departamentos “técnicos” eram tão suscetíveis aos nossos e-mails quanto o resto da empresa (26% clicando em DevOps, 24% em TI e 25% em toda a organização). A outra organização, no entanto, viu esses departamentos técnicos mostrarem uma suscetibilidade muito maior do que a média organizacional (30% clicando em DevOps, 21% em TI, com a taxa geral da organização sendo de 11%).

Da mesma forma, esses grupos não foram melhores do que o resto da organização em relatar os e-mails como suspeitos. Em uma organização, TI e DevOps ficaram em terceiro e sexto em nove departamentos em termos de relatórios. Na outra organização, DevOps foi o décimo segundo melhor em relatórios de dezesseis departamentos, TI foi décimo quinto. Por fim, foi perguntado aos que clicaram se haviam notado um e-mail de phishing em sua caixa de entrada no passado. Em ambas as organizações, TI e DevOps relataram ter notado um ataque de phishing em uma taxa mais alta do que o resto de suas organizações, sugerindo que eles recebem mais ataques de phishing ou se consideram melhores em detectá-los.

Duas grandes conclusões podem ser tiradas desses resultados. Em primeiro lugar, com seus acessos adicionais, a suscetibilidade consistente (ou mesmo avançada) da equipe técnica e a falta de relatórios aprimorados representam um risco aumentado. Em segundo lugar, uma maior alfabetização geral de TI e provavelmente a conscientização sobre phishing não reduzem a suscetibilidade ao phishing por e-mail. Se essas pessoas empregadas em funções “técnicas” não são melhores na prevenção ou defesa contra ataques de phishing, por que acreditar que podemos aprimorar os membros da equipe “não técnicos” para poder fazer isso? Em vez disso, devemos desenvolver práticas de segurança robustas para permitir que aqueles que são menos suscetíveis possam proteger aqueles que estão em maior risco.

Outra descoberta importante, embora menos controversa, do nosso estudo é que a taxa de denúncia de e-mails suspeitos como phishing está diretamente relacionada ao próprio processo de denúncia. Das quatro organizações envolvidas em nosso estudo, uma não forneceu dados de relatórios, uma contava com usuários enviando um e-mail suspeito para uma caixa de entrada compartilhada, uma estava no processo de implantação de um botão de relatório em seu cliente de e-mail, mas apenas implantou para dois grupos, o resto encaminhou os e-mails. A organização final teve acesso a um botão em seu cliente de e-mail. Nesta última organização, com o botão, a equipe reportou 47% dos e-mails como suspeitos. Na organização sem botão, apenas 13% dos funcionários relataram o e-mail como suspeito. Na organização que foi dividida, aqueles com o botão de denúncia reportaram 44% dos e-mails como suspeitos, enquanto aqueles sem o botão reportaram apenas 11%.

As organizações devem ter um método para identificar e-mails maliciosos que ignoraram suas medidas técnicas de proteção. Uma vez que um e-mail está em uma caixa de entrada, cabe ao proprietário da caixa de entrada considerá-lo suspeito e alertar as equipes de segurança. Deixar de fornecer um método único e simples de relatório significa que você provavelmente terá apenas um quarto dos e-mails de phishing relatados do que veria com um botão disponível. É altamente recomendável que todas as organizações implementem um botão de relatório para todos os usuários de e-mail. O problema subsequente de quatro vezes o número de e-mails relatados para filtrar manualmente deve ser resolvido por automação e triagem.

Finalmente, sobre a questão da comunicação de segurança, devemos considerar a velocidade. O tempo é da maior importância tanto para os invasores que procuram comprometer sua rede quanto para as equipes de segurança que tentam evitá-los. Nosso estudo descobriu que nos primeiros cinco minutos de entrega de um e-mail, mais de três vezes o número de pessoas que relatam o e-mail como suspeito serão vítimas dele. Após cinco minutos, esse número começa a se estabilizar e, após 30 minutos, você deve esperar mais relatórios do que cliques. Leva mais tempo para analisar um e-mail e decidir que é suspeito e, em seguida, denunciá-lo, do que para acreditar em sua origem e ser vítima. Remover barreiras e ter um método eficaz para lidar rapidamente com e-mails relatados é essencial para evitar danos.

Nossas percepções deste estudo são as seguintes:

  • Os humanos permanecerão suscetíveis a ataques de phishing, independentemente de sua função.
  • Apoie aqueles que são mais propensos a detectar um ataque de phishing com um único método de relatório simples de usar, idealmente um botão em seu cliente de e-mail.
  • A velocidade é essencial, portanto, organize sua central de segurança para poder fazer a triagem e responder rapidamente aos e-mails de maior ameaça.


Todos os detalhes do estudo, resultados e insights da F-Secure podem ser encontrados aqui.

FONTE:

https://blog.f-secure.com/insight-from-a-large-scale-phishing-study/