Seus funcionários sabem que suas senhas são fracas, mas não as mudarão
O papel do usuário comum tende a ser esquecido quando a grande mídia discute o cibercrime e, até certo ponto, isso é perfeitamente compreensível. Afinal, vender uma história sobre hackers patrocinados pelo Estado extremamente sofisticados que usam ferramentas inteligentes de hackers para contornar os mecanismos de defesa das principais organizações é mais fácil do que vender uma história sobre um funcionário que não estava prestando atenção.
O fato é que, no entanto, os funcionários descuidados costumam estar na raiz dos ataques de maior destaque. Tudo depende dos hábitos de cibersegurança das pessoas e de sua compreensão do risco, ou, mais precisamente, da falta dele. Para combater o cibercrime, as empresas de segurança devem entender por que enfrentamos esse problema, e é por isso que a WebRoot fez uma parceria com a Wakefield Research e conduziu um estudo que eles chamam apropriadamente de " Hook, Line e Sinker: Por que ataques de phishing funcionam ". As descobertas são tão fascinantes quanto preocupantes.
Índice
Pesquisadores entrevistam 4.000 trabalhadores de escritório superconfiantes
A pesquisa envolveu 4.000 funcionários dos EUA, Reino Unido, Japão e Austrália, e uma das primeiras coisas que essas pessoas foram convidadas a fazer é estimar quão confiantes estão em sua capacidade de distinguir mensagens de phishing de mensagens reais. Surpreendentemente ou não, as respostas dependem, pelo menos em certa medida, da localização geográfica das pessoas e de sua educação cultural. No Reino Unido, nos EUA e na Austrália, por exemplo, cerca de 90% dos trabalhadores dizem que podem transmitir uma mensagem de phishing de uma mensagem real. Por outro lado, apenas um em cada dois entrevistados japoneses expressou confiança semelhante.
Se assumirmos que esses números também representam o resto do mundo, concluiremos que cerca de 79% de todos os funcionários de escritório acham que conseguem identificar um email de phishing. O próximo conjunto de figuras mostra que eles são muito arrogantes.
Cerca de 49% dos entrevistados admitem que clicaram em links de e-mails de remetentes desconhecidos enquanto estavam no trabalho. Coincidentemente ou não, 48% dos funcionários entrevistados dizem que tiveram suas informações pessoais e / ou financeiras violadas pelo menos uma vez.
É bastante óbvio que, embora pensem que sabem melhor, muitos funcionários não são instruídos e experientes o suficiente para evitar a maioria das armadilhas de phishing. Esse não é o único problema.
Os funcionários não sabem como lidar com um incidente de segurança cibernética
67% dos entrevistados disseram ter recebido pelo menos um e-mail de phishing no trabalho. Desses, cerca de 39% não fizeram nada para denunciar a mensagem e ajudar a localizar sua fonte. Existem algumas outras descobertas que demonstram a falta de conscientização das pessoas sobre segurança.
Embora a maioria dos entrevistados saiba que os e-mails com spam ficam na parte inferior da maioria das operações de malware e roubo de credenciais, muitos não conseguem reconhecer mensagens de texto , mídias sociais e chamadas de voz como vetores de phishing.
As estatísticas mais preocupantes, no entanto, são as que detalham as ações das pessoas após uma violação. 29% dos entrevistados que admitiram ter sido atingidos por uma violação não informaram as autoridades legais e, no Japão, cerca de 13% não fizeram absolutamente nada. Um grande número de 35% dos trabalhadores atingidos por uma violação de dados não se incomodou em alterar suas senhas após o vazamento das informações. E esse, como muitos de vocês devem saber, é o primeiro e mais importante passo que um usuário deve seguir após um ataque cibernético.
Algo precisa ser feito
Obviamente, a situação está longe de ser ideal e as empresas de todo o mundo devem começar a pensar no que podem fazer para melhorá-la. Os autores do estudo apontaram, com razão, que as organizações devem investir em treinamentos e cursos educacionais que devem conscientizar sobre a ameaça do phishing, além de outros aspectos da segurança cibernética. As simulações de phishing, em particular, são especialmente úteis porque, com elas, os funcionários obtêm uma experiência em primeira mão de como é ser alvo de um golpe de phishing.
Como Cleotilde Gonzalez, Ph.D. da Universidade Carnegie Mellon observou em seus comentários sobre a pesquisa, no entanto, "o que realmente precisamos é de uma reforma de mentalidade". As pessoas precisam perceber o quão importante é a segurança cibernética e precisam entender as consequências de não levá-la a sério o suficiente.
Então, e somente então, a ameaça real virá dos hackers patrocinados pelo estado e de suas ferramentas sofisticadas. Eles serão confrontados com uma defesa muito mais formidável, no entanto.
