Novo relatório: Business email compromise representa 1 em cada 10 ataques por e-mail

Ameaças de engenharia social transmitidas por e-mail estão a prosperar à medida que os atacantes continuam a adaptar e evoluir as suas táticas para aumentar as suas hipóteses de sucesso.

A mais recente análise dos dados de deteção de e-mails pelos investigadores da Barracuda revela que, embora o panorama continue dominado por ataques de phishing em massa e scamming em geral, há um aumento constante de ameaças mais direcionadas e potencialmente mais prejudiciais, como a business email compromise e a conversation hijacking.

Os investigadores analisaram 69 milhões de ataques por e-mail em 4,5 milhões de caixas de correio ao longo de um ano. As conclusões estão resumidas no novo Relatório sobre Ameaças e Tendências de E-mail vol. 1, que mostra que os atacantes estão a aproveitar a capacidade da IA generativa para escalar e personalizar os seus ataques, e a implementar códigos QR, links encurtados e webmail para disfarçar a sua verdadeira natureza e intenção.

Entre outras coisas, o relatório mostra que:

• Ataques BEC (Business Email Compromise) representaram 10,6%, ou mais de 1 em 10, dos ataques de engenharia social em 2023, e os números mostram um aumento constante ao longo do tempo. Os ataques BEC representaram 8% dos ataques em 2022 e 9% em 2021. 
  
• Falsificação de conversas representou 0,5% dos ataques de engenharia social no ano passado, um aumento de quase 70% em comparação com 0,3% em 2022. Os ataques de falsificação de conversas exigem muito esforço para serem executados, mas os lucros podem ser significativos.
  
• Phishingrepresentaram um terço (35,5%) dos ataques de engenharia social no ano passado. Esses ataques em massa, geralmente não direcionados, tentam enganar as vítimas para que cliquem num link de phishing. E-mails de phishing têm sido usados por atacantes há anos e continuam a ser preocupantemente bem-sucedidos. O Relatório de Investigação de Violações de Dados, 2024 encontrou que, em média, levava menos de 60 segundos para alguém cair num esquema fraudulento de phishing.
  
• Cerca de 1 em cada 20 Caixas de Correio foram alvo de ataques de código QR no último trimestre de 2023. Os ataques de código QR são difíceis de detetar usando métodos tradicionais de filtragem de e-mail. Além disso, afastam as vítimas das máquinas corporativas e obrigam-nas a usar um dispositivo pessoal, como um telemóvel ou iPad, que não está protegido pelo software de segurança corporativo.
• O Gmail foi o serviço de webmail gratuito mais popular utilizado para engenharia social. Em 2023, o Gmail representou 22% dos domínios usados para ataques de engenharia social, de acordo com dados da Barracuda. Pouco mais de metade dos ataques de Gmail detetados foram usados para ataques BEC.
• bit.ly foi utilizado em quase 40% dos ataques de engenharia social que incluem um URL encurtado. Os encurtadores de URL condensam o link, fazendo com que o link real do site fique obscurecido com letras ou números aleatórios. Utilizar esta tática pode disfarçar a verdadeira natureza e destino do link.

As pessoas são alvos vulneráveis à engenharia social. No ano passado, pouco mais de dois terços (68%) das violações de dados envolveram um elemento humano 'não malicioso' — por outras palavras, um funcionário comum apenas a tentar prosseguir com o seu trabalho que foi apanhado de surpresa.

Ataques de engenharia social, desde BEC e sequestro de conversas até extorsão, phishing, esquemas fraudulentos e spam precisam ser levados a sério e devem ser bloqueados na entrada ou rapidamente contidos, neutralizados e eliminados se conseguirem passar.

Não se trata apenas de ter as ferramentas, políticas e programas de segurança adequados — embora isso continue a ser fundamental. Os profissionais de TI e segurança precisam compreender como o ecossistema de ameaças por e-mail está a evoluir e o que isso significa para a organização e os seus colaboradores em termos de risco, resiliência e resposta a incidentes.