Hackers implantam táticas de engenharia social em ataques de phishing

Os cibercriminosos estão evoluindo seus métodos de phishing, empregando técnicas de engenharia social mais sofisticadas para enganar seus alvos.

Descobertas recentes do Relatório de Atividades APT da ESET destacam uma tendência preocupante em que os agentes de ameaças estão estabelecendo relacionamentos com vítimas em potencial antes de implantar conteúdo malicioso.

Essa mudança de estratégia torna cada vez mais necessária para que os funcionários identifiquem e evitem tentativas de phishing.

Grupos alinhados à Coreia do Norte, incluindo Deceptive Development e Kimsuky, foram coletados usando ofertas de emprego falsas e comunicações de entrevista para iniciar contato com os alvos.

Só depois de construir um relacionamento é que eles entregam  cargas maliciosas .

Da mesma forma, o grupo Lazarus tem passado por recrutadores em redes profissionais, distribuindo bases de código trojanizadas disfarçadas de atribuições de trabalho com o objetivo de roubo de criptomoedas.

O Elemento Humano: Uma Vulnerabilidade Crítica

O fator humano continua sendo uma vulnerabilidade significativa na segurança cibernética. O Relatório de Investigações de Violação de Dados de 2024 da Verizon revela que 68% das denúncias envolveram um elemento humano não malicioso, como ser vítima de  ataques de engenharia social .

Phishing e pretexting via e-mail foram responsáveis ​​por 73% desses casos, com pretexting superando o phishing tradicional em frequência.

Essas descrições centradas no ser humano não são apenas prevalentes, mas também caras.

De acordo com o Relatório de Custo de uma Violação de Dados 2024 da IBM, a perda média de negócios devido a um phishing atingiu US$ 4,88 milhões por violação, tornando-se o segundo tipo de ataque mais caro depois de incidentes internos maliciosos.

Mitigando riscos por meio de treinamento de conscientização

Para combater essas ameaças em evolução, as organizações estão recorrendo a um treinamento abrangente de conscientização sobre segurança cibernética.

A ESET  lançou  seu programa de treinamento de conscientização sobre segurança cibernética, projetado para educar os funcionários sobre as novidades cibernéticas atuais e ajudar as empresas a atender aos requisitos de conformidade e segurança.

Este treinamento adota uma abordagem baseada em histórias, envolvendo os funcionários na compreensão de maus hábitos comuns que podem colocar em risco toda a empresa.

Ele também fornece informações sobre a mentalidade dos agentes de ameaças, explicando como eles exploram perfis de redes sociais para adivinhar senhas ou se passar por alvos.

O programa de treinamento da ESET faz parte de uma abordagem mais ampla de prevenção em primeiro lugar, que visa reduzir a superfície de ataque e reduzir a complexidade da defesa cibernética.

Ao combinar o treinamento de funcionários com soluções de segurança em várias camadas, como o ESET PROTECT, as organizações podem se preparar melhor contra o cenário em constante evolução das ameaças cibernéticas.

À medida que as técnicas de phishing continuam avançando, fica claro que uma força de trabalho bem informada é crucial para manter uma forte postura de segurança cibernética.

Ao investir em treinamento de conscientização de alta qualidade, pois as empresas podem capacitar seus funcionários com seriedade e frustração até mesmo como experimentos de engenharia social mais sofisticados.

FONTE: MINUTO DA SEGURANÇA