O uso de armadilhas digitais – o phishing – levou a prejuízos que aumentaram quase 4 vezes desde 2015, passando de US$ 3,8 milhões anuais para US$ 14,8 milhões. Essa é uma das conclusões do estudo do Instituto Ponemon, patrocinado pela consultoria Proofpoint, que avaliou os prejuízos do phishing em grandes empresas dos EUA.
As empresas avaliadas têm em média 9.567 funcionários. Em média, para cada funcionário, perderam 7 horas de trabalho e US$ 1.500 (R$ 7.844 na cotação de hoje, 17/08/21) anuais. Essa perda de tempo está ligada a simplesmente parar, por conta de ameaças, refazer credenciais ou ter seus equipamentos avariados.
Os ataques de phishing se dividem em dois tipos: ransomware e business e-mail compromise (BEC, “comprometimento de e-mail empresarial”).
Ransomware é quando os criminosos cobram resgate para liberar os computadores, o acesso a login ou não distribuir dados confidenciais obtidos. Já BEC é quando alguém se passa por um membro da empresa ou um contato comercial através de e-mail para induzir a transferências bancárias para o invasor.
Resgate após phishing é um prejuízo menor
Uma das coisas mais inesperadas no estudo foi que apenas 20% do prejuízo causado por ransomware é por conta do resgate. Os outros 80% são de investimentos de emergência em medidas de segurança, danos por perda de equipamento, e, principalmente, danos por perda de horas de trabalho.
| Problema | Custo |
| Conter malware | US$ 353.582 |
| Custo de malware não contido | US$ 807.506 |
| Perdas de produtividade | US$ 3.234.459 |
| Custo para conter roubo de credenciais | US$ 692.531 |
| Custo de roubo de credenciais não contido | US$ 2.776.340 |
| Custo total do phishing | US$ 7.864.418 |
| Custo total do BEC | US$ 5.965.534 |
| Valor pago de resgate do phishing | US$ 996.265 |
| Prejuízo total | US$ 14.826.217 |
O vice-presidente de estratégia de cibersegurança da Proofpoint, Ryan Kalember, tem uma hipótese. Ele afirma que o custo de roubo de identidade explodiu nos últimos anos por conta de criminosos escolherem fazer funcionários, e não redes, de alvo, usando da chamada engenharia social. Em outras palavras: enganando as pessoas a digitarem suas credenciais, fazerem transferências, instalarem programas maliciosos.
Leia mais
- Entenda definitivamente o que é phishing e não seja a próxima vítima
- Pandemia: 1 em cada 8 brasileiros já sofreu tentativa de phishing
- Google lança teste que ensina usuários a detectarem e-mails falsos
Kalember afirma: “Até organizações desenvolverem uma abordagem de cibersegurança centrada em pessoas, que inclua treinamento de conscientização de segurança e proteção integrada de ameaças para impedir e remediar essas ameaças, ataques de phishing continuarão.”
Via Threat Post
Tags: