Funcionários em home office viram alvos prioritários para hackers

Por Denis Riviello, Head de Cibersegurança da Compugraf

“Uso de dispositivos e redes privadas para acesso corporativo sem as devidas proteções, abrem perigosas portas para que cibercriminosos acessem e roubem dados e tenham acesso a informações sensíveis das empresas”, afirma Denis Riviello, especialista de segurança da informação da Compugraf.

A rápida adaptação ao modelo de trabalho remoto imposta pela necessidade de isolamento causada pela pandemia da COVID-19, trouxe uma série de desafios para as empresas brasileiras. Apesar da corrida por tecnologias que permitam e protejam esse modelo de trabalho, o cibercrime também adaptou seus alvos e agora foca no elo mais frágil dessa cadeia: as pessoas.

O volume de ataques por engenharia social, quando o fraudador convence pessoas a executarem ações que possibilitem o golpe ou o acesso aos dados, já demonstra crescimento substancial de quase 100 mil tipos de fraudes online que usam a palavra coronavírus, por exemplo.

O trabalho remoto favorece essa mudança de alvo, pois em casa a tendência é que os funcionários “baixem a guarda” muitas vezes negligenciando as políticas de segurança constantemente reforçadas no ambiente corporativo. Mas principalmente, é comum que uso de dispositivos pessoais e redes de Wi Fi pessoais para atividades profissionais, abrindo portas para às informações de clientes e empresas.

Para se aproveitar dessas vulnerabilidades, os fraudadores usam, principalmente, métodos mais populares, como o phishing, vishing, smishing, pretexting e o quid pro quo, não tão popular, mas que vem crescendo diariamente.

O phishing consiste em tentativas de fraudes por meio de e-mails falsos, onde os cibercriminosos atraem as vítimas para acessarem cópias de páginas idênticas a de sites como o da própria empresa ou de serviços. O vishing, é executado pelo atacante em ligações telefônicas, a fim de obter informações estratégicas da empresa, ou também para realizar compras ou saques em nome da vítima. Já o smishing, por sua vez, testa golpes por sms e mensagens via celular, onde o usuário do telefone é convencido a baixar um vírus ou malware em seu dispositivo móvel ou a fornecer seus dados pessoais.

Também tornou-se comum entre os cibercriminosos o pretexting, que ocorre quando o atacante finge ser um colega de trabalho ou o chefe a fim de exercer sua autoridade para demandar ações, solicitar informações ou simplesmente usufruir de seus benefícios, podendo ocorrer via e-mail, telefone, SMS e até mesmo pessoalmente. Já o quid pro quo, não tão popular mas que vem crescendo diariamente, é um ataque que ocorre no processo de troca e não necessariamente envolve bens financeiros e é executado, por exemplo, quando as vítimas respondem a uma pesquisa e assinam com seus dados pessoais para validação, facilitando para os cibercriminosos o roubo de seus dados.

Todas essas formas de ataques consistem em gatilhos que envolvem o emocional da equipe, como a curiosidade, preguiça, comoção, vaidade e ansiedade. E, para que todos estejam preparados para os dias longe do ambiente formal de trabalho sem correr riscos, o ideal é que a organização crie, no mínimo, processos internos, como por exemplo, definir canais formais para que mensagens importantes trocadas pelos colaboradores possam ser autenticadas e que se precisarem de ajuda, isso seja feito de maneira organizada e em um ambiente próprio para isso.

Auxílios informais devem ser evitados, como pedir ajuda a pessoas que não façam parte da equipe de TI da empresa, além do mais, os colaboradores também devem ser instruídos a não acessarem arquivos sensíveis quando logados no ambiente corporativo em seus dispositivos. Por isso, treinamentos e testes preventivos para a conscientização de toda a organização devem ser investimentos a pequeno e médio prazo, assim, os possíveis ataques serão combatidos na mesma proporção.

Veja o guia completo sobre engenharia social: https://materiais.compugraf.com.br/guia-engenharia-social?utm_campaign=guia_engenharia_social&utm_medium=email&utm_source=lancamento

Sobre a Compugraf

A Compugraf é a provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras. Responsável pela implementação e operacionalização de sistemas completos de segurança digital, da tecnologia ao comportamento humano, além disso, a empresa é a principal parceira brasileira de gigantes globais do mercado, como: Check Point, F5, Fortinet, OneTrust, Algosec, Senha Segura, IBM, entre outros. Com mais de 35 anos de mercado e 100% brasileira, a Compugraf reúne um time de mais de 100 colaboradores qualificados e certificados que proporcionam operações mais seguras para mais de 300 clientes ativos em nível nacional.

Sobre Denis Riviello

Denis Riviello é especialista de Segurança, com mais de 20 anos de experiência em concepção e estruturação personalizada de áreas responsáveis por segurança da informação de grandes empresas, além de estar à frente das áreas de segurança de pré-vendas da Compugraf.