O número de ciberataques a grandes empresas, governos e outras organizações continua a crescer, e quase todos eles são variantes de apenas nove tipos de ataques, de acordo com uma pesquisa da Verizon, empresa de telecomunicações americana.

Segundo o relatório, a frequência das ofensivas em 2014 mudou pouco em relação ao ano anterior. O estudo publicado catalogou quase 80 mil incidentes, incluindo 2 122 invasões de sistema em 61 países.

Nos casos em que sistemas de uma organização são atacados e informações confidenciais acabam reveladas, o método mais usado foi o ataque por meio de aplicações web, responsável por 458 invasões. Na segunda colocação, estão os ataques feitos nos pontos de venda de lojas, com 419 invasões. Ataques por organizações patrocinadas por governos, chamados pela Verizon de "ciberespionagem", responderam por 290 invasões.

No caso de invasões que envolvem aplicações online, softwares rodando a partir do navegador, os invasores usaram credenciais roubadas, como logins e senhas, 95% das vezes, e simplesmente se conectaram como se fossem um usuário verdadeiro.

As credenciais são geralmente roubadas como resultado de outra espécie de ataque popular – o phishing, no qual um alvo é levado a abrir malware disfarçado como um documento legítimo.

O estudo descobriu que quando invasores lançam campanhas de phishing, mandando muitos e-mails na expectativa que alguém clique neles, 23% dos destinatários irão ler o e-mail e 11% irão abrir o anexo que causam o problema.

O estudo também descobriu que alguns departamentos de uma empresa são mais suscetíveis a serem vítimas de ataques phishing: comunicações, jurídico e atendimento ao consumidor, setores onde as mensagens enviadas costumam vir acompanhadas por anexos.

No total, 548 invasões foram classificadas como "ciberespionagem", quando elas são feitas por ou em nome de um governo nacional contra uma empresa ou outra organização, como uma universidade ou uma agência governamental em outro país. Porém, em dois terços dos casos, a autoria do crime nunca foi definitivamente provada.

A maior parte dos ataques desconhecidos foram feitos contra empresas no setor de manufatura, seguido por ataques a agências governamentais. Mais de 77% deles foram feitos por e-mail, usando um anexo com phishing ou um link em uma mensagem. Quase 86% das vezes, a informação roubada nos ataques foi classificada como "secreta", incluindo dados sobre negócios, documentos jurídicos e propriedade intelectual.

Setenta organizações, incluindo o serviço secreto dos Estados Unidos e empresas de segurança, contribuíram com informações para o relatório.

Fonte: Verizon