Destaque da Ameaça: Como o tamanho da empresa afeta as ameaças de email que visam o seu negócio

Demora menos de um minuto para alguém cair num esquema de phishing. De acordo com o Relatório de Investigações de Violação de Dados 2024, o tempo médio para um destinatário clicar num link malicioso após abrir o e-mail é de 21 segundos, seguido de 28 segundos para introduzir os dados solicitados.

Os ataques transmitidos por e-mail não são apenas rápidos — são generalizados e bem-sucedidos. Isto deve-se ao facto de serem relativamente de baixo custo e fáceis de implementar, podendo ser escalados e adaptados à medida que novas ferramentas e capacidades se tornam disponíveis.

O nosso novo relatório sobre as principais ameaças e tendências de e-mail mostra um aumento constante, ano após ano, nas ameaças de e-mail direcionadas, como comprometimento de e-mail comercial (BEC) e sequestro de conversas. Neste blog, exploramos como o tipo e a prevalência das ameaças de e-mail direcionadas podem variar de acordo com o tamanho da empresa.

Os dados de deteção de ameaças de e-mail da Barracuda desde o início de junho de 2023 até ao final de maio de 2024 mostram que empresas de tamanhos diferentes têm perfis de risco diferentes quando se trata do tipo de ataques por e-mail que recebem.

Concentrámos a nossa análise em ataques de e-mail direcionados, incluindo phishing, Business Email Compromise (BEC) e sequestro de conversas.

O volume de ataques de phishing direcionados por tamanho da empresa

Em termos de phishing, as maiores organizações, com 2.000 ou mais caixas de correio, receberam uma média de cerca de 7.500 ameaças de phishing ao longo de 12 meses. No entanto, caixas de correio individuais foram atingidas, em média, apenas uma vez no mesmo período.

Isso aumenta para seis incidentes por caixa de correio para as empresas mais pequenas, um risco significativamente maior apesar da média de apenas cerca de 180 ataques no total.

Esta disparidade pode estar relacionada com as diferentes estruturas organizacionais e recursos em empresas de diferentes tamanhos. Por exemplo, empresas mais pequenas tendem a ter estruturas organizacionais mais planas com acesso mais fácil a nomes ou dados de contacto. Isto pode significar que os atacantes podem direcionar um amplo leque de funcionários.

Devido ao seu tamanho menor, é provável que também tenham mais pessoas com acesso privilegiado a dados e sistemas. Há menos graus de separação entre os funcionários, permitindo que os atacantes se movimentem lateralmente rapidamente. Como resultado, os e-mails de ataque recebidos são distribuídos de forma mais uniforme por toda a empresa e podem ter como alvo tanto o estagiário como o CEO.

Numa organização maior, as contas privilegiadas de alto valor estão geralmente concentradas entre alguns funcionários individuais ou líderes da empresa. Estes utilizadores podem frequentemente receber a maioria dos ataques, enquanto muitas outras caixas de correio não recebem quaisquer ameaças de entrada, reduzindo a média.

Perfis de ataques de e-mail direcionados por tamanho da empresa

Os dados sugerem que a prevalência de Ataques BEC e sequestro de conversas permanece relativamente consistente, independentemente do tamanho da empresa.

No entanto, o perfil de outras ameaças por e-mail direcionadas é mais variável. Por exemplo, as empresas mais pequenas são as mais propensas a serem afetadas por phishing e extorsão.

O phishing representou 71% dos ataques por e-mail direcionados enfrentados por empresas com até 100 caixas de correio ao longo de 12 meses, em comparação com 41% para organizações maiores. As empresas mais pequenas também recebem cerca de três vezes mais ataques de extorsão do que as suas contrapartes maiores. Os ataques de extorsão representaram 7% dos incidentes direcionados para as empresas menores, em comparação com 2% para aquelas com 2.000 caixas de correio ou mais.

Isto pode dever-se em parte ao facto de as organizações mais pequenas, com menos funcionários, terem menos probabilidade de possuir múltiplas camadas de segurança para detetar e bloquear ameaças de e-mail, como o phishing, na fase mais precoce possível. As suas definições de filtragem de e-mail muitas vezes não estão configuradas para proporcionar segurança otimizada devido à falta de recursos e de conhecimentos internos, o que pode permitir que mais ataques passem.

O phishing lateral tem como alvo empresas maiores

O phishing lateral, que pode incluir spam ou ameaças mais sofisticadas, são ataques que são enviados para contas em toda a organização a partir de uma conta interna já comprometida.

Quase metade (42%) das deteções de ataques por e-mail direcionados nas maiores empresas envolveu phishing lateral, em comparação com apenas 2% nas menores organizações. Este vetor de ataque interno é um grande risco para grandes empresas.

A prevalência de compromissos de contas entre empresas maiores pode refletir o facto de as credenciais de muitas empresas serem provavelmente já disponíveis para compra na dark web, tornando o phishing lateral um ataque direto. As empresas maiores são alvos atraentes para os cibercriminosos porque potencialmente oferecem um maior retorno sobre o investimento. Estas organizações muitas vezes detêm grandes quantidades de dados valiosos, sensíveis, confidenciais e financeiros.

As grandes empresas apresentam inúmeras oportunidades de exploração para os cibercriminosos. Com mais caixas de correio e colaboradores, há significativamente mais potenciais pontos de entrada para os atacantes. Além disso, estas organizações têm frequentemente múltiplos canais de comunicação, incluindo listas de distribuição, que podem disseminar rapidamente mensagens maliciosas por toda a empresa, escondendo-se eficazmente dentro do elevado volume de tráfego interno.

Os colaboradores recebem regularmente um elevado volume de mensagens de email diariamente, tornando-os mais suscetíveis a ciberataques à medida que percorrem rapidamente as suas caixas de entrada. É mais provável que confiem em mensagens de email que parecem vir de dentro da organização, mesmo que o remetente lhes seja desconhecido. Os cibercriminosos podem explorar estas tendências comportamentais para espalhar mensagens de phishing lateral de forma mais eficaz.

Os investigadores da Barracuda descobriram que os ataques de phishing lateral raramente são direcionados. Os atacantes estão a usar a abordagem de "spray-and-pray", e a maioria das mensagens assemelha-se a spam. Cada "campanha" de ataque de phishing lateral pode frequentemente envolver milhares de mensagens. Isto significa que apenas alguns incidentes podem realmente impactar os resultados.

Como ficar seguro

A educação é fundamental para proteger a sua organização de ataques transmitidos por e-mail — quer seja uma pequena empresa com apenas alguns funcionários ou uma grande empresa com centenas de caixas de correio. Utilize formação de sensibilização sobre segurança para ajudar a manter todos informados sobre as últimas ameaças, para que possam identificar facilmente e-mails suspeitos. Os funcionários também devem estar atentos a atividades invulgares nas suas contas, o que pode ser um sinal de comprometimento, e relatá-las imediatamente.

É também importante ensinar os colaboradores a não confiarem num email apenas porque vem de um colega. Inclua ataques de phishing lateral como parte das campanhas de simulação de phishing para ajudar a reforçar esta mensagem.

Uma solução baseada em IA que ajuda a detetar e a remediar ataques de apropriação de conta é outra peça crítica de proteção que precisa ter em vigor para ajudar a proteger eficazmente contra as sofisticadas ameaças de e-mail de hoje. As ferramentas ajudam a identificar ataques de apropriação de conta, contas comprometidas e atividades de reconhecimento. Certifique-se de monitorizar logins suspeitos, alterações de regras ou mensagens invulgares/maliciosas enviadas.

A monitorização de e-mails internos também é importante. A maioria dos gateways de e-mail não monitoriza o correio interno. Certifique-se de que a sua solução de segurança de e-mail é capaz de monitorizar o correio interno para intenções maliciosas.