Phishing é o tipo de ataque cibernético mais frequente nas PMEs

Publicado em 28/07/2021 por Marcela Gava

Nesta primeira parte da pesquisa sobre cibersegurança no Brasil, o Capterra investiga como as pequenas e médias empresas (PMEs) têm vivenciado o tema e quais ações têm empregado para mitigar os riscos de ataques digitais. 

Cibersegurança no Brasil: Phishing é o tipo de ataque mais frequente nas PMEs

Casos de ataques digitais estão cada vez mais comuns no Brasil. Só em 2020, houve um aumento de 330% nas tentativas de invasão a sistemas corporativos no País, um crescimento influenciado especialmente pela transição ao trabalho remoto, aumento de compras online e uso de bancos digitais, de acordo com as informações reunidas pela CNN Brasil. 

Não importa se é uma multinacional ou um negócio de bairro: qualquer empresa está sujeita a ser vítima de um ataque cibernético –para mitigar os riscos, a implementação de recursos preventivos, como softwares de cibersegurança, e a realização de treinamentos de conscientização dos funcionários são ações extremamente necessárias. 

No caso das pequenas e médias empresas (PMEs), nova pesquisa do Capterra indica que mais da metade delas (57%) já sofreu tentativa de fraude digital ou efetivamente um golpe digital, conforme evidenciado no gráfico abaixo:

Os dados deste estudo foram reunidos a partir de entrevistas com 305 profissionais envolvidos na coordenação ou gestão de PMEs de todas as regiões do país (confira a metodologia no final do artigo). 

Das empresas que relataram terem sofrido uma tentativa de golpe digital ou um golpe digital, o phishing foi o tipo de ataque mais citado: 83% dos respondentes destacaram que sua empresa já foi vítima de recebimento de mensagens fraudulentas via e-mail. 

A alta quantidade de casos de phishing também é corroborada por uma pesquisa recente realizada pela Federação Brasileira de Bancos (Febraban). Segundo a instituição, neste ano, os casos de phishing no Brasil aumentaram 100% em relação a 2020. 

Na sequência, as ameaças mais recorrentes foram o smishing e o spear phishing –ambos agem com o mesmo objetivo do phishing tradicional, o roubo de dados confidenciais, porém cada um tem sua particularidade na maneira como o golpe é executado. 

Neste contexto, o Capterra também analisou como as empresas estão administrando a segurança de seus sistemas através do uso de softwares. 

De acordo com a pesquisa, das empresas que foram vítimas de tentativa de golpe digital ou golpe digital, seis de cada dez disseram que antes do evento já possuíam ferramentas de cibersegurança instaladas. Depois do evento, 91% declararam que a empresa instalou ferramentas adicionais de cibersegurança.

Já as empresas que não possuíam ferramentas de cibersegurança antes do ataque, 69% disseram que suas empresas instalaram uma solução de cibersegurança após a tentativa de ataque ou golpe digital.

Os tipos de ataques digitais e quais softwares ajudam a combatê-los

Phishing: comunicações eletrônicas contendo links fraudulentos que direcionam a uma página falsa para obter dados confidenciais da vítima.

SMShing: diferentemente do phishing tradicional, a mensagem suspeita é enviada por SMS convidando a vítima a clicar em um link ou fazer download de um aplicativo.  

  • Combatido com: aplicativos de segurança para dispositivos móveis que, além de funcionalidade de antivírus, também possuem recursos anti-phishing.

Spear phishing: trata-se também de mensagens fraudulentas, mas direcionadas a um profissional específico da empresa.

Roubo de perfis de redes sociais: rouba-se as credenciais de acesso de perfis corporativos em redes sociais. Além do roubo, é comum criminosos clonarem perfis com o intuito de se passar pela empresa e tentarem roubar dados dos seus clientes.

  • Combatido com: recomenda-se a ativação da autenticação em dois fatores que as próprias plataformas oferecem, além do uso de gerenciadores de senhas para a criação de códigos mais poderosos.

Man in the Middle: ataque em que se intercepta a comunicação entre o computador do usuário e outra infraestrutura, como a página de um banco ou a rede de Wi-Fi; dessa maneira, rouba-se informações que estão sendo transmitidas entre as duas partes.  

  • Combatido com: programas VPN encriptam a conexão da internet para proteger os dados enviados e recebidos ao usar redes Wi-Fi. 

Ataque de força bruta: quando o criminoso tenta diferentes tipos de combinações para adivinhar uma senha ou uma credencial de login e invadir uma conta.

  • Combatido com: além de gerar senhas aleatórias fortes, um sistema de gerenciamento de senhas armazena com criptografia todas as credenciais de acesso da empresa, evitando que se crie uma única senha para diferentes aplicações.

Ransomware: após acessar um sistema, o invasor bloqueia o acesso do proprietário a arquivos do seu computador. O objetivo é pedir um resgate às vítimas para a liberação das informações sequestradas.  

Negação de serviço: o objetivo da negação de serviço é sobrecarregar uma rede de maneira que ela fique indisponível, prejudicando a operação de uma empresa. É comum que os criminosos peçam um valor de resgate para restabelecer o serviço. 

Cibersegurança no Brasil: atenção ao tema ainda não é generalizada  nas PMEs

Os dados do Capterra também mostram que a preocupação das PMEs com a questão da segurança digital ainda patina –mesmo com o Brasil tendo registrado recentemente seu maior caso de vazamento de dados pessoais da história do País

Tal impressão resulta do fato de apenas 54% das PMEs entrevistadas definirem sua preocupação com cibersegurança como sendo alta.

O índice se mostrou mais alto entre aqueles que já sofreram uma tentativa de golpe digital ou mesmo um golpe digital. Segundo o estudo, seis de cada dez PMEs que já foram vítimas de ataques afirmam ter um nível alto de preocupação com cibersegurança. 

Já entre aquelas que declararam nunca terem sido vítimas de um golpe digital, nota-se uma redução no nível de preocupação: apenas 46% afirmaram estar muito preocupadas com o tema de segurança digital. 

O dado sugere que ainda há muitas empresas que não fazem um trabalho de prevenção das ameaças digitais e, com isso, acabam ficando à mercê de possíveis prejuízos financeiros resultantes de ataques criminosos.

Como as PMEs se protegem de golpes digitais 

Outro dado que reforça que as PMEs deixam a desejar quando se trata de segurança digital está relacionado à infraestrutura de proteção das empresas: 52% dos entrevistados descreveu a infraestrutura da sua empresa como moderadamente atualizada; somente 36% a consideram altamente atualizada.

É importante possuir uma infraestrutura atualizada visto que os mecanismos de ataque hacker tem se tornado cada vez mais sofisticados. Segundo um especialista em cibersegurança entrevistado pela BBC, atualmente as empresas estão à mercê de ataques avançados ao mesmo tempo que seus níveis de defesa não correspondem à altura dos ataques.

Neste contexto, o Capterra analisou quais são as tecnologias de defesa mais usadas pelas PMEs. Antivírus (96%), softwares de segurança de e-mail (90%) e firewalls (87%) foram as soluções mais citadas, conforme o gráfico abaixo.

Em quesito prevenção, o dado mais otimista está relacionado ao treinamento em cibersegurança. Segundo as empresas entrevistadas, 72% delas disseram que organizam treinamentos de cibersegurança; por outro lado, 24% disse que não realiza e 4% disse não ter certeza.

Das que realizam treinamentos de cibersegurança, em relação à frequência, a maioria das empresas entrevistadas realiza de forma semestral (67%). Já outros 28% o fazem anualmente, 1% a cada dois anos e 4% não possui uma frequência definida. 

PMEs: dicas de segurança da informação

Como mencionado anteriormente, utilizar softwares de cibersegurança e realizar treinamentos de capacitação com a equipe são essenciais para manter uma rotina de proteção digital. 

No entanto, há outras ações que ajudam na criação de uma infraestrutura mais robusta, como o uso de métricas de avaliação de desempenho, a criação de uma política de segurança digital e a presença na equipe de um profissional focado em cibersegurança. 

De acordo com os dados do Capterra, muitas PMEs já possuem essa estrutura, como mostra o gráfico a seguir:

Para criar uma estrutura mais completa, o Capterra reuniu dicas para aplicar essas medidas na sua empresa:

  • Implementação de métricas de avaliação de cibersegurança
Para avaliar o desempenho de ações de segurança digital, meça a quantidade de ameaças reportadas, além da média do tempo para identificação e resolução de vulnerabilidades. Também vale a pena medir o conhecimento adquirido pelos funcionários após treinamentos de cibersegurança.
  • Contratação de profissional responsável pela cibersegurança
Um profissional responsável pela cibersegurança tem o treinamento adequado para identificar vulnerabilidades no sistema. Além disso, a a Lei Geral de Proteção de Dados Pessoais (LGPD) exige a presença de um profissional (conhecido como DPO, sigla de Data Protection Officer) encarregado da proteção e tratamento de dados, sendo o responsável pela ponte entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Portanto, é importante se manter atento a essas exigências para preencher corretamente o quadro da sua empresa.
  • Estabelecer políticas e diretrizes de cibersegurança
Uma diretriz de cibersegurança reúne todas as informações necessárias para mitigar vulnerabilidades, proteger o sistema e os dados da organização e estabelecer quais são as responsabilidades de cada área. Este documento deve ser revisado com frequência e deve estar à disposição dos funcionários para que possam consultar facilmente se tiverem alguma dúvida acerca da cibersegurança.
Ao implementar estratégias de prevenção, é possível reduzir as chances de ser vítima de um ataque digital ou vazamento de dados, livrando a sua empresa de fazer parte de estatísticas.
Busca software de cibersegurança? Confira nosso catálogo.

Metodologia

Para reunir os dados presentes neste estudo, o Capterra realizou um levantamento online entre os dias 16 e 23 de junho de 2021 em que ouviu 305 profissionais envolvidos na coordenação ou gestão de pequenas e médias empresas de todas as regiões do país. Além de serem trabalhadores em tempo integral ou parcial, para participar do estudo, os entrevistados deveriam ter envolvimento parcial ou total na implementação da Lei Geral da Proteção de Dados Pessoais (LGPD) entre suas equipes. Os resultados são representativos da pesquisa, mas não necessariamente da população como um todo.

Esse artigo pode se referir a produtos, programas ou serviços ainda não disponíveis em seu país, ou pode ter restrições legais ou regulatórias. Sugerimos que você consulte o provedor de software diretamente para informações sobre disponibilidade do produto ou conformidade com as leis locais.

Sobre o(a) autor(a)

Analista de conteúdo do Capterra, cobre as tendências de tecnologia e inovação. Jornalista com mestrado em comunicação pela UAB, de Barcelona. Gosta de criar playlists aleatórias.

Analista de conteúdo do Capterra, cobre as tendências de tecnologia e inovação. Jornalista com mestrado em comunicação pela UAB, de Barcelona. Gosta de criar playlists aleatórias.