Pesquisas recentes de universidades nos EUA evidenciam um problema com a maneira como as empresas respondem aos relatos de ataques de phishing. Embora orientações comuns em segurança cibernética recomendem que as pessoas não cliquem em links suspeitos e reportem esses emails, um estudo revela que muitas grandes empresas fazem pouco para facilitar essas denúncias, e menos ainda para desativar páginas falsas de sites fraudulentos, mesmo após serem informadas.
O estudo, apresentado em um simpósio internacional, analisou a eficácia dos canais de denúncia oferecidos pelas empresas. Em uma amostra das 100 maiores empresas norte-americanas, menos da metade sequer disponibiliza algum canal para denúncias de phishing. Além disso, uma experiência prática mostrou que cerca de 30% dos sites fraudulentos relatados nunca foram acessados para investigação, e apenas 3% foram bloqueados após o relato.
Os ataques de phishing geralmente incluem links que levam as vítimas a sites falsos que imitam páginas legítimas, onde podem ser induzidas a fornecer dados confidenciais. Apesar dos avanços em tecnologia para detectar esses ataques, muitos ainda escapam das barreiras de segurança. Em 2022, o FBI registrou que o phishing foi o tipo mais comum de crime cibernético, com uma incidência 11 vezes maior que em 2018.
Diante desse cenário, empresas instruem funcionários a identificar e reportar emails suspeitos como uma linha de defesa adicional. Quando esses ataques são reportados, empresas podem mitigar o problema ao atualizar seus sistemas de segurança e reportar sites fraudulentos para serem desativados. No entanto, estudos indicam que a taxa de denúncias de phishing é baixa, e o processo de denúncia muitas vezes desestimula os usuários devido à falta de respostas ou ações efetivas.
Para entender melhor essa baixa adesão, pesquisadores da Drexel University investigaram a experiência de quem tenta relatar ataques de phishing. Eles descobriram que as instruções de denúncia variam muito, e frequentemente os denunciantes não recebem nenhum tipo de retorno. Isso cria um ciclo negativo, em que a falta de resposta leva as pessoas a não reportarem ataques futuros, minando os esforços de combate ao phishing.
A pesquisa conclui que uma das melhores maneiras de aumentar a adesão a essas denúncias seria melhorar a comunicação das empresas com os denunciantes, oferecendo, pelo menos, respostas automáticas com atualizações sobre as ações tomadas. Além disso, orientações mais claras e consistentes poderiam ajudar a simplificar o processo de denúncia.
