É dito repetidamente que os humanos são o elo mais fraco na segurança. Não importa quais controles de nuvem você coloque, firewalls que você configure ou verificações de integridade de CI/CD que você faça, na maioria das vezes, é preciso comprometer um único humano em sua organização para comprometer tudo e levar a um ataque cibernético. Na verdade, as estatísticas da Cybint sugerem que 95% das violações de segurança cibernética são causadas por erro humano.
O Relatório de Investigações de Violação de Dados (DBIR) de 2023 da Verizon detalha exemplos de erros humanos que levam a violações de dados. Na verdade, 74% dos incidentes incluem algum elemento humano, como clicar em um link de phishing.
Combater esses ataques sempre foi uma das principais preocupações dos CISOs e líderes de segurança em todo o mundo, e recorremos à conscientização sobre segurança para educar as pessoas e treiná-las para identificar esses ataques. No entanto, o que temos hoje é suficiente?
Claramente não. Apesar do treinamento de conscientização, ainda vemos um aumento em tais ataques, mesmo em organizações proeminentes como Microsoft, TMobile, UnitedHealth, etc, apenas neste ano.
Mas você pode perguntar, sempre foi assim? Eu sei que o risco humano existe; ele existe há mais de uma década. Por que se tornou uma preocupação candente?
Veja o que mudou na última década e por que a situação é mais alarmante e merece prioridade agora mais do que nunca.
Ascensão dos Deepfakes
A engenharia social sempre se baseou na criação de enganos, por exemplo, hackers se passando por indivíduos com autoridade e enganando as pessoas para que confiem neles. Os últimos avanços em IA e deepfakes tornaram mais fácil para os hackers criarem personas ainda mais enganosas. Na verdade, um trabalhador financeiro pagou US$ 25 milhões após videochamada com o "diretor financeiro" do deepfake.
Os call centers bancários estão cada vez mais inundados com chamadas de clones de voz deepfake tentando acessar contas de clientes, e a fraude alimentada por IA se tornou a principal preocupação de segurança para a maioria dos bancos, pois os fraudadores enviam documentos alterados por IA para abrir contas falsas. Mas, além de aumentar a eficácia desses ataques em múltiplas partes, a IA reduziu os custos operacionais, permitindo que hackers conduzissem campanhas personalizadas em larga escala.
Maior exposição de informações pessoais
Você sabe quantas violações de dados aconteceram somente em agosto de 2024? Bilhões de registros públicos já vazaram online neste mês. Todos esses dados acabam em feeds de hackers, desencadeando uma nova onda de ataques de phishing direcionados. Muitos dos nossos dados também estão disponíveis com corretores de dados para serem revendidos por vários revendedores e aplicativos de geração de leads. E muitos deles são o que nós mesmos colocamos online em várias plataformas de mídia social. Todas essas informações são úteis para hackers criarem personas falsas e executarem um ataque de engenharia social hiperpersonalizado.
Maior acessibilidade
Respire fundo e conte o número de aplicativos de comunicação em que você está. Já se foram os dias em que o e-mail era o único meio de comunicação para uma empresa. Hoje, os funcionários usam uma variedade de ferramentas de comunicação, como Slack, Zoom, Google Meet, WhatsApp, chamadas de voz, bate-papo em mídias sociais e assim por diante. O aumento das fontes de comunicação, por sua vez, aumenta a superfície de ataque e a exposição ao risco. Um hacker pode entrar furtivamente em uma conversa por qualquer um desses canais e tentar um hack.
Maior conectividade online
Você sabia que a Geração Z tem três vezes mais chances de ser enganada por fraudes online em comparação aos baby boomers? A Geração Z se envolve com a tecnologia mais do que qualquer outra geração, com uma média de pelo menos quatro horas diárias nas mídias sociais. Com uma ampla variedade de aplicativos, do Snapchat ao Instagram, eles compartilham ansiosamente cada momento de suas vidas. No entanto, essa profunda interconexão também os expõe a várias ameaças, como golpes de phishing, roubo de identidade e golpes românticos. O longo tempo gasto online inevitavelmente aumenta sua vulnerabilidade a cair em armadilhas online.
Trabalho remoto está ganhando popularidade
A configuração de trabalho em casa adicionou dinâmica adicional a esse cenário. Para muitos funcionários, isso confundiu a fronteira entre dispositivos de trabalho e dispositivos pessoais. Muitas pessoas acabam usando dispositivos de trabalho por motivos pessoais, aumentando inadvertidamente o risco. Pesquisas mostram que trabalhadores remotos também se distraem mais facilmente e têm mais probabilidade de clicar em links suspeitos. Quando você não se encontrou pessoalmente ou não está familiarizado com o estilo de conversa da outra pessoa, fica mais fácil para hackers enganá-lo a acreditar que o e-mail enviado enquanto se faz passar pelo colega é genuíno.
A maneira como organizamos o trabalho, a maneira como estamos interconectados hoje e as formas instantâneas e proliferadas de nos alcançar, com informações significativas sobre nós estarmos online, tornaram esses ataques mais poderosos. Precisamos de melhores defesas. Defesas que estejam alinhadas com o mundo moderno e que possam nos fornecer cobertura holística.
Já se foram os dias em que a segurança de uma organização podia ser tratada separadamente da segurança de um indivíduo. Um risco cibernético para um indivíduo, seja em um âmbito pessoal ou profissional, é um risco para a organização, e é hora de começarmos a olhar para isso de forma holística.
Curioso para saber seu risco pessoal? A varredura gratuita está disponível por sete dias. Experimente hoje e compartilhe com seus colegas. Nós escanearemos as profundezas da web e compartilharemos com você as informações que você pode não estar ciente de que os hackers sabem.
