12 estatísticas de engenharia social que farão você questionar tudo

A engenharia social trata de bandidos hackeando seus funcionários em vez de sua rede. Aqui estão uma dúzia de estatísticas de engenharia social que você deve compartilhar com sua equipe e liderança para se preparar para os ataques que provavelmente enfrentará em 2023 e além…

 Engenharia social descreve como os cibercriminosos tentam “hackear” as pessoas dentro de sua organização em vez da tecnologia. Essa abordagem consiste em usar táticas psicológicas para levar as pessoas a fazer algo que normalmente não fariam ou compartilhar informações que não deveriam. A engenharia social pode ser usada para fazer com que você desista de suas credenciais de login ou talvez clique em um link para um site que instala ransomware automaticamente em seu dispositivo.

Basta um único momento de inconsciência ou ignorância de um funcionário para que um hacker os use para colocar sua organização de joelhos. Mas não estamos aqui para discutir as complexidades da engenharia social; isso é assunto para outra hora. Você está aqui para entrar nos dados essenciais que ninguém gosta de ler, mas precisa saber: estatísticas de engenharia social. Reunimos algumas estatísticas de engenharia social de 2021 e 2022 para ajudar a prepará-lo para o que está por vir em 2023.

Vamos discutir isso.

12 estatísticas de engenharia social que sua empresa precisa saber em 2022, 2023 e além

As estatísticas de engenharia social são uma ótima maneira de manter o controle sobre as ameaças cibernéticas mais impactantes do setor. A engenharia social é um conjunto de habilidades maliciosas que os cibercriminosos adoram usar para obter seus dados mais confidenciais. Mas, em vez de regurgitar uma lista enorme de informações derivadas de outras fontes, nosso objetivo aqui é cultivar as estatísticas de engenharia social mais reveladoras que achamos que você deveria saber ao entrarmos no novo ano.

1. A engenharia social ocupa o 1º lugar como o tipo de ataque principal em 2022

A LookingGlass Cyber ​​e a ISACA (anteriormente Information Systems Audit and Control Association) relatam que a engenharia social continua a ser classificada como o principal tipo de ataque analisado em 2022. Não é surpreendente, na verdade, quando você considera a utilidade de uma ferramenta para os cibercriminosos.

Parece apropriado colocarmos essa estatística no topo de nossa lista de estatísticas de engenharia social, já que, você sabe, é disso que trata este artigo.

A IBM relata em seu relatório Custo de uma violação de dados de 2022 que o custo médio de uma violação de dados com engenharia social como o vetor de ataque inicial ultrapassou US $ 4 milhões. Para colocar isso em perspectiva, é mais do que a Agência Federal de Gerenciamento de Emergências (FEMA) pagou ao Departamento de Transporte de Massachusetts pelos custos de remoção e lixamento de neve da tempestade de inverno Kenan em janeiro de 2022.

3. Violações de dados baseadas em engenharia social levaram 270 dias para serem identificadas e contidas

Mas as novidades da IBM não param por aí. O relatório de 2022 também mostrou que essas violações de dados – aquelas com engenharia social como vetor de ataque inicial – levaram quase nove meses para as empresas:

  • Identificar as violações (201 dias de tempo médio) e
  • Contê-los (69 dias de tempo médio).

Isso significa que as violações baseadas em engenharia social tiveram um desempenho ligeiramente melhor do que a violação média de dados em 2022, que levou 207 e 70 dias médios, respectivamente, para identificar e conter.

Um gráfico de barras que mostra a diferença de tempo entre identificar e conter uma violação de ataques baseados em engenharia social e violações de dados envolvendo outros vetores de inicialização.  Os dados vêm do relatório 2020 Cost of a Data Breach da IBM.
Fontes de dados de imagem: relatório Custo de violação de dados de 2022 da IBM. O gráfico mostra a diferença entre o tempo necessário para identificar e conter uma violação para violações de dados baseadas em engenharia social e aquelas que envolvem outros vetores de inicialização.

4. 82% das violações de dados envolvem o “elemento humano”

Em seguida, em nossa lista de estatísticas de engenharia social, estão alguns ótimos dados da Verizon. A empresa compartilhou em seu Relatório de investigações de violação de dados de 2022 (DBIR) que quatro em cada cinco das violações analisadas envolveram fatores relacionados a humanos. Considerando que a engenharia social é a arte covarde de usar táticas psicológicas para atingir seus funcionários humanos, faz sentido que a maioria das violações adote essa abordagem.

Os cibercriminosos podem usar mídias sociais, sites de agregação de dados e outras fontes de informações publicamente disponíveis para aprender sobre você e sua empresa. Depois de coletar essas informações, eles podem combinar esse conhecimento com táticas de engenharia social para obter uma posição segura em sua organização.

5. 90% dos ataques cibernéticos visam seus funcionários em vez de sua tecnologia

Sim, você leu corretamente: nove em cada 10 ataques cibernéticos contra organizações visam pessoas, e não suas defesas de TI e segurança cibernética. Porque? Porque, como a Arctic Wolf Networks aponta em seu relatório State of Cybersecurity Trends de 2022 , focar nos funcionários é um esforço de baixo risco que resulta em altas recompensas para os invasores.

Os sistemas podem ser corrigidos e as vulnerabilidades podem ser mitigadas. Mas os cibercriminosos geralmente visam os elos mais fracos da sua armadura de corrente porque isso equivale ao maior pagamento com o menor esforço. Eles sabem que seus funcionários são humanos e os humanos estão fadados a cometer erros. Os cibercriminosos estão apostando nesse fato. É por esse motivo que você deve fazer o possível para aumentar a consciência cibernética dos funcionários por meio de treinamento e educação regulares.

6. 47% dos incidentes de segurança relacionados à engenharia social resultaram em divulgação de dados

A Verizon também informou que nos 2.249 incidentes relatados que analisaram envolvendo engenharia social, 1.063 resultaram na divulgação. Esse número constitui quase metade dos incidentes que eles analisaram. De que tipo de dados estamos falando? Tudo, desde informações de identificação pessoal (24%) até credenciais de login (63%).

Isso significa que quase dois em cada três ataques de engenharia social visam manipular você ou seus colegas para entregar suas credenciais de login. Eles podem fazer isso fingindo ser um membro da equipe de TI da sua organização ou enviando um e-mail de phishing que o levará a um site com um portal de login falso. Quando você insere suas credenciais genuínas, o invasor as rouba e pode usá-las para quaisquer fins nefastos que desejar.

Confira este vídeo informativo que mostra como é fácil usar a engenharia social em um alvo inocente:

https://youtube.com/watch?v=PWVN3Rq4gzw%3Ffeature%3Doembed

7. As organizações enfrentam mais de 700 ataques de engenharia social anualmente

Eca. Quando você pensou que essas estatísticas de engenharia social não poderiam piorar, apresentamos este golpe do relatório Spear Phishing de 2021 da Barracuda: principais ameaças e tendências . Basicamente, isso significa que a organização média é alvo de quase dois ataques de engenharia social por dia.

Quando você considera que basta um deslize para ter seus dados roubados, alterados ou destruídos, isso coloca em perspectiva o quanto cada tentativa é importante. 

8. Quase 33% dos crimes relatados ao IC3 envolveram phishing, vishing, smishing ou pharming

O phishing há muito é considerado a forma mais comum de engenharia social e desempenha um papel em muitas violações de dados e outros crimes cibernéticos em todo o mundo. Em seu Relatório de Crimes na Internet de 2021 , o IC3 informou ter recebido uma média de 552.000 reclamações por ano (entre 2016 e 2021) globalmente, com um preço colossal de US$ 18,7 bilhões. (O Internet Crime Complaint Center (IC3) do FBI é uma organização do governo federal que lida com reclamações de crimes cibernéticos.)

Tenha em mente, no entanto, que isso representa apenas perdas relatadas – não há como dizer quantos crimes cibernéticos ocorreram que não foram relatados ou descobertos.

Em 2021, 847.376 reclamações foram relatadas com US$ 6,9 bilhões em perdas ajustadas. Dessas, 323.972 reclamações envolveram phishing em várias plataformas (e-mail, telefones, mensagens de texto SMS) e pharming. A tabela a seguir compara isso com outros tipos de crime em 2021:

Um gráfico de barras comparando os cinco principais tipos de crimes cibernéticos usando dados do Internet Crime Complaint Center.
Fonte de dados da imagem: Relatório de Crimes na Internet de 2021 do Internet Crime Complaint Center.

9. Incidentes relatados de BEC/EAC resultam em quase US$ 2,4 bilhões em perdas ajustadas

A engenharia social pode ser realizada usando muitos métodos de ataque, incluindo o uso de contas de e-mail legítimas comprometidas ou a representação delas com contas de imitação com ortografia aproximada. Em seu Relatório de Crimes na Internet de 2021, o IC3 relatou quase 20.000 reclamações de comprometimento de e-mail comercial (BEC) / comprometimento de conta de e-mail (EAC) com um alto preço totalizando quase US$ 2,4 bilhões.

Isso significa que as perdas totais ajustadas desses crimes cibernéticos relatados custam mais do que as perdas estimadas do enorme incêndio Marshall (estimado em mais de US$ 2 bilhões) que matou duas pessoas e destruiu mais de 6.000 acres e 1.156 casas e empresas .

10. Kits de phishing que bandidos podem usar para realizar engenharia social custam apenas US$ 10

Phishing-as-a-service (PHaaS) vem ganhando interesse na última década porque torna mais fácil para bandidos não técnicos fazerem coisas ruins. Duas das opções de PHaaS mais populares identificadas pelo ThreatLabs da Zscaler em seu relatório State of Phishing de 2022 são kits de phishing e estruturas de phishing de código aberto:

  • Os kits de phishing tendem a custar de US$ 10 a potencialmente centenas de dólares. Eles são kits DIY pré-embalados que podem ser implantados para realizar ataques de phishing com o mínimo de esforço.
  • As estruturas de phishing de código aberto, como o nome sugere, são gratuitas. No entanto, eles tendem a exigir mais organização e coordenação.

11. Dados pessoais de 5 milhões de funcionários e passageiros expostos em um único ataque de ransomware

Em novembro de 2022, a AirAsia foi alvo de um ataque de ransomware que resultou no roubo de dados confidenciais relacionados a cinco milhões de funcionários e clientes. Isso incluiu dados de identificação pessoal (PII) dos funcionários e informações de reserva dos clientes.

A captura de tela a seguir (removida) de DataBreaches.net mostra uma rápida olhada em algumas das categorias de dados que foram expostas na violação:

Uma captura de tela do DataBreaches.net que mostra dados redigidos da AirAsia fornecidos pelo grupo de hackers Daixin Team.
Fonte e legenda da imagem: Uma captura de tela do DataBreaches.net, que contém informações editadas relacionadas às informações pessoais e relacionadas ao trabalho dos funcionários da AirAsia. Esses dados foram publicados pelo DataBreaches.net, que recebeu as informações do grupo de hackers conhecido como Daixin Team .

Este é apenas um exemplo de por que as PII são dados valiosos para os cibercriminosos. Podem ser informações básicas (seu nome, endereço, número de telefone) ou informações significativamente mais confidenciais (seu número de seguro social, números de contas, etc.). Os invasores podem usá-lo não apenas para ajudar a enganar as soluções de segurança cibernética, mas também para enganar você ou seus colegas. PII é o forragem perfeita para criar e-mails de phishing excelentes (e verossímeis) ou enganar os funcionários para que façam algo porque acreditam que estão lidando com seus clientes autênticos.

Vamos considerar o golpe clássico de troca de SIM. Um bandido liga para um provedor de serviços de telefonia celular fingindo ser você com o objetivo de convencer o funcionário de atendimento ao cliente do provedor a exportar os dados do cartão SIM do seu telefone para um novo dispositivo. O atacante fala grosso, contando uma história triste sobre como você perdeu seu telefone e teve que comprar um novo. Como eles têm esse conhecimento de suas informações pessoais, eles podem usá-lo para verificar sua identidade enquanto fingem ser você.

12. Os cibercriminosos roubam US$ 3,1 milhões das vítimas enganando os processadores de pagamento da assistência médica

Tudo bem, é hora de encerrar nossa lista de estatísticas de engenharia social. A internet é uma coisa incrível. Ele nos permite ter as informações do mundo ao nosso alcance. Mas junto com esse privilégio vêm os riscos associados a ele: se você tem acesso a tantas informações, isso significa que os bandidos também têm.

Em setembro de 2022, o FBI divulgou um aviso consultivo de relatórios de que os cibercriminosos tinham como alvo os processadores de pagamento de assistência médica. O objetivo? Para redirecionar os pagamentos das vítimas para contas controladas pelos bandidos. De acordo com o relatório:

“Em cada um desses relatórios, cibercriminosos desconhecidos usaram informações de identificação pessoal (PII) de funcionários publicamente disponíveis e técnicas de engenharia social para se passar por vítimas e obter acesso a arquivos, portais de assistência médica, informações de pagamento e sites. Em um caso, o invasor mudou as informações de depósito direto das vítimas para uma conta bancária controlada pelo invasor, redirecionando US$ 3,1 milhões dos pagamentos das vítimas.”

Considerações finais: como evitar se tornar uma dessas estatísticas de engenharia social

Esperamos que você tenha achado esta informação informativa e útil. Gostamos de dados acionáveis ​​aqui no Hashed Out e achamos que seria melhor fornecer algum contexto para esses números.

Se você quiser ver alguns exemplos de engenharia social , nós o cobrimos. Mas a regra geral quando se trata de evitar ser vítima de golpes de engenharia social é parar um momento antes de agir e se fazer várias perguntas importantes:

  • Você está esperando a mensagem? Não fique feliz com os cliques. Se você receber uma mensagem inesperada ou não solicitada contendo anexos ou links para um site, pergunte-se se está esperando a informação. Por segurança, entre em contato diretamente com a pessoa que supostamente enviou o arquivo por outro canal oficial (pelo número de telefone da empresa ou indo até a mesa) para ver se ela o enviou.
  • Você verificou o endereço de e-mail do remetente? Os engenheiros sociais adoram usar nomes de exibição que se pareçam com o remetente oficial. Para evitar cair nessa tática, inspecione os endereços de e-mail de perto para garantir que as informações sejam precisas. Mesmo um endereço de e-mail com uma única letra diferente pode ser a diferença entre evitar um golpe e ser vítima de um. Basta perguntar à contadora da estrela do Shark Tank e empresária Barbara Corcoran . (Felizmente para Corcoran, ela conseguiu recuperar seu dinheiro assim que o golpe foi descoberto.)  
  • Você verificou os links para ver se eles correspondem ao texto em que estão incorporados? É uma tática comum de engenharia social esconder o verdadeiro URL de uma página da web dentro do texto âncora de um falso. Ao disfarçá-lo, eles o fazem parecer um link legítimo para pessoas que não olham além da superfície. Simplesmente passe o mouse sobre o link (sem clicar nele!), e o verdadeiro URL será exibido.
  • A comunicação (e quaisquer solicitações dentro dela) faz sentido? Este requer um pouco de pensamento crítico. Leia a mensagem novamente e pergunte a si mesmo se ela faz sentido. Por exemplo, um funcionário de marketing pediria acesso às informações relacionadas à folha de pagamento do funcionário? O CEO da sua empresa entraria em contato diretamente com você para iniciar uma grande transferência eletrônica? Na maioria dos casos, a resposta para ambas as perguntas é “não provável”.
  • A pessoa que enviou o e-mail ou a mensagem de texto entraria em contato com você dessa maneira? Talvez você receba um e-mail de um fornecedor. No entanto, você normalmente recebe um telefonema dessa pessoa. Isso pode ser um sinal de que não é o remetente legítimo ou que a conta de e-mail pode ter sido invadida. Entre em contato com eles diretamente por telefone ou outro canal oficial para verificar antes de enviar o e-mail.
  • Se o remetente estiver pedindo criptomoedas ou vales-presente, saiba que é praticamente garantido que é uma farsa. Criptomoedas e cartões-presente pré-pagos são duas das formas favoritas dos cibercriminosos de obter dinheiro por meio de fraudes. Eles convencem seu alvo (ou seja, você) a abandonar o bom senso e enviar dinheiro usando um desses meios financeiros. Portanto, se alguém lhe pedir para enviar dinheiro ou comprar cartões-presente pré-pagos por um motivo ou outro, não faça nada até falar com essa pessoa diretamente, cara a cara ou por telefone usando um número de telefone oficial.

Suspeita que está sendo alvo deste tipo de ataque ou precisa de uma equipe de resposta a incidentes à este tipo de vazamento de informações?

Agende uma conversa conosco clicando aqui.

Compartilhe:

Você tem o direito à privacidade.
O nosso dever é preservá-la.