Quando uma falha de segurança eletrônica aparece no noticiário, os especialistas muitas vezes exageram a sofisticação do ataque cibernético. Se os hackers são caracterizados como gênios ricos, as vítimas parecem menos vulneráveis, as empresas de segurança podem fomentar a venda de seus produtos e autoridades podem fazer investidas por regulações mais duras ou buscar mais dinheiro para defesas cibernéticas.
No entanto, dois relatórios divulgados nesta semana destacam a verdade menos alardeada: a vasta maioria dos ataques de hackers é bem-sucedida porque funcionários clicam em links em emails maliciosos, companhias não aplicam atualizações que corrigem falhas conhecidas de software ou técnicos não configuram os sistemas adequadamente.
Estas conclusões estarão no centro das atenções de executivos que participarão da maior conferência de segurança em tecnologia do mundo na próxima semana em São Francisco, uma conferência que leva o nome da principal patrocinadora RSA, a divisão de segurança da EMC.
No mais conhecido estudo anual sobre roubos de dados, um relatório da Verizon que será divulgado na quarta-feira determinou que mais de dois terços dos 290 casos de espionagem eletrônica que chegaram ao conhecimento da empresa em 2014 envolveram “phishing”, o termo da indústria de segurança para emails enganosos.
Como tantas pessoas clicando em links ou anexos maliciosos, o envio de emails de phishing para apenas 10 funcionários dará acesso aos hackers 90% das vezes, a Verizon descobriu.
Outro relatório anual sobre ataques eletrônicos, a ser divulgado nesta terça-feira pela Symantec, determinou que espiões com apoio de países também usam técnicas de phishing pois elas funcionam e também porque a abordagem menos sofisticada atrai menos atenção de defensores.