Comportamento Cultura Economia Educação Política Saúde

Hackers – Artigo

Funcionários em home office viram alvos prioritários para hackers

Entenda quais são os principais golpes cibernéticos no período de trabalho remoto e como as equipes e empresas devem estar preparadas

Por Denis Riviello, Head de Cibersegurança da Compugraf 

Uso de dispositivos e redes privadas para acesso corporativo sem as devidas proteções, abrem perigosas portas para que cibercriminosos acessem e  roubem dados e tenham acesso a informações sensíveis das empresas”, afirma Denis Riviello, especialista de segurança da informação da Compugraf.

A rápida adaptação ao modelo de trabalho remoto imposta pela necessidade de isolamento causada pela pandemia da COVID-19, trouxe uma série de desafios para as empresas brasileiras. Apesar da corrida por tecnologias que permitam e protejam esse modelo de trabalho, o cibercrime também adaptou seus alvos e agora foca no elo mais frágil dessa cadeia: as pessoas. 

O volume de ataques por engenharia social, quando o fraudador convence pessoas a executarem ações que possibilitem o golpe ou o acesso aos dados, já demonstra crescimento substancial de quase 100 mil tipos de fraudes online que usam a palavra coronavírus, por exemplo.


O trabalho remoto favorece essa mudança de alvo, pois em casa a tendência é que os funcionários “baixem a guarda” muitas vezes negligenciando as políticas de segurança constantemente reforçadas no ambiente corporativo. Mas principalmente, é comum que uso de dispositivos pessoais e redes de Wi Fi pessoais para atividades profissionais, abrindo portas para às informações de clientes e empresas.

Para se aproveitar dessas vulnerabilidades, os fraudadores usam, principalmente, métodos mais populares, como o phishing, vishing, smishing, pretexting  e o quid pro quo, não tão popular, mas que vem crescendo diariamente.

O phishing consiste em tentativas de fraudes por meio de e-mails falsos, onde os cibercriminosos atraem as vítimas para acessarem cópias de páginas idênticas a de sites como o da própria empresa ou de serviços. O vishing, é executado pelo atacante em ligações telefônicas, a fim de obter informações estratégicas da empresa, ou também para realizar compras ou saques em nome da vítima. Já o smishing, por sua vez, testa golpes por sms e mensagens via celular, onde o usuário do telefone é convencido a baixar um vírus ou malware em seu dispositivo móvel ou a fornecer seus dados pessoais.

Também tornou-se comum entre os cibercriminosos o pretexting, que ocorre quando o atacante finge ser um colega de trabalho ou o chefe a fim de exercer sua autoridade para demandar ações, solicitar informações ou simplesmente usufruir de seus benefícios, podendo ocorrer via e-mail, telefone, SMS e até mesmo pessoalmente. Já o quid pro quo, não tão popular mas que vem crescendo diariamente, é um ataque que ocorre no processo de troca e não necessariamente envolve bens financeiros e é executado, por exemplo, quando as vítimas respondem a uma pesquisa e assinam com seus dados pessoais para validação, facilitando para os cibercriminosos o roubo de seus dados.

Todas essas formas de ataques consistem em gatilhos que envolvem o emocional da equipe, como a curiosidade, preguiça, comoção, vaidade e ansiedade. E, para que todos estejam preparados para os dias longe do ambiente formal de trabalho sem correr riscos, o ideal é que a organização crie, no mínimo, processos internos, como por exemplo, definir canais formais para que mensagens importantes trocadas pelos colaboradores possam ser autenticadas e que se precisarem de ajuda, isso seja feito de maneira organizada e em um ambiente próprio para isso. 

Auxílios informais devem ser evitados, como pedir ajuda a pessoas que não façam parte da equipe de TI da empresa, além do mais, os colaboradores também devem ser instruídos a não acessarem arquivos sensíveis quando logados no ambiente corporativo em seus dispositivos. Por isso, treinamentos e testes preventivos para a conscientização de toda a  organização devem ser investimentos a pequeno e médio prazo, assim, os possíveis ataques serão combatidos na mesma proporção.

Veja aqui o guia completo sobre engenharia social. 

Sobre o autor: Denis Riviello é especialista de Segurança, com mais de 20 anos de experiência em concepção e estruturação personalizada de áreas responsáveis por segurança da informação de grandes empresas, além de estar à frente das áreas de segurança de pré-vendas da Compugraf.

Deixe um comentário

O seu endereço de e-mail não será publicado.