Os 10 ciberataques de phishing mais tentadores para os colaboradores das empresas

Desde que o teletrabalho se converteu numa rotina diária para muitos portugueses, a preocupação das empresas com a cibersegurança dos seus colaboradores e redes corporativas tem vindo a aumentar. Ao desempenhar o seu trabalho de forma remota, os colaboradores precisam, de certa forma, de atuar como sendo os seus próprios departamentos de TI, uma vez que não têm consigo um colega do departamento informático que os possa aconselhar no momento sobre o que fazer ou não fazer perante quaisquer possíveis incidentes ou situações suspeitas.

Os ataques de phishing cresceram de forma meteórica durante o último ano, já que os atacantes continuam a aperfeiçoar as suas táticas e a reutilizar as de maior sucesso. Num ataque de phishing os cibercriminosos enviam uma mensagem eletrónica que leva as vítimas a fazer algo inseguro, como fornecer passwords, números de cartão de crédito ou moradas. Este tipo de ataques é muito rentável e cada vez mais sofisticado, incluindo já muito menos falhas ortográficas, combinações de idiomas ou outros sinais que ajudavam a pôr em causa a legitimidade da mensagem.

 

No âmbito da celebração do 8º Mês da Cibersegurança da União Europeia, que acontece em outubro de 2020, a Sophos Ibéria, líder global em soluções de cibersegurança de última geração, levou a cabo uma investigação para saber quais os os “ganchos” utilizados nos ataques de phishing que mais tentam os colaboradores. Através da ferramenta Sophos Phish Threat, uma empresa pode instalar um simulador de ataques de phishing automatizados para sensibilizar e consciencializar os seus colaboradores – não são ameaças reais, mas ataques simulados que alertam os colaboradores assim que carregam num determinado link. Dessa forma, a ferramenta permite reforçar a segurança dos utilizadores, que continuam a ser o elo mais fraco da proteção contra os ciberataques e a forma mais fácil de aceder às redes empresariais, mesmo após a implementação de medidas de segurança sólidas.

“O phishing é um tipo de ciberataque a que é necessário prestar especial importância, já que é simples de utilizar, tem muito sucesso e é tremendamente rentável para os cibercriminosos. Ainda que possa parecer surpreendente, muitas das fraudes identificadas pela Sophos não eram relacionadas com assuntos prioritários ou de emergência, mas com coisas quotidianas que pareciam suficientemente plausíveis para levar a vítima a carregar no link”, explica Ricardo Maté, Diretor-Geral da Sophos Ibéria.

Eis as 10 ameaças de phishing, por ordem de importância, que foram mais tentadoras no último ano, segundo a investigação da Sophos:

1. Código de conduta. O colaborador recebe uma comunicação do departamento de Recursos Humanos que expõe os novos códigos de conduta da empresa. Uma vez que a maioria dos colaboradores sabe que é um conteúdo de leitura obrigatória, é a fraude com maior sucesso.
2. Resumo do encerramento atrasado do ano fiscal. Este email notifica os colaboradores de que a sua documentação fiscal vai chegar-lhes com atraso, e oferece um link através do qual poderão saber de quanto tempo será o atraso. Sendo esta uma informação bastante relevante, muitos colaboradores acedem ao mesmo para perceber o que acontecerá à sua documentação.
3. Manutenção programada do servidor. Ainda que seja surpreendente que esta ameaça fique na 3ª posição, uma vez que é provável que muitos colaboradores ignorem este tipo de mensagem, o teletrabalho alterou alguns comportamentos e saber quando o acesso pode ser interrompido é agora mais relevante.
4. Novas tarefas. Esta ameaça é um phishing semi-direcionado, já que o administrador simula utilizar o mesmo programa interno da empresa para que o ataque não seja tão óbvio. É necessário ter em conta que os cibercriminosos conhecem a maioria das ferramentas corporativas e podem utilizá-las contra as empresas.
5. Novo teste do sistema de email. Apenas exige um clique rápido num email para ajudar um colega – a probabilidade de que pelo menos uma pessoa bem-intencionada clique no link é elevada.
6. Atualização da política de férias. A crise do coronavírus obrigou muitas empresas a alterar as suas políticas de férias, uma informação de grande interesse para toda a equipa, e que representa também um risco importante.
7. Deixou as luzes acesas? Nesta mensagem, o suposto administrador do edifício informa que um dos carros dos colaboradores ficou com as luzes acesas. Receber um link através do qual se pode aceder à imagem do veículo em questão poderia parecer suspeito, mas também pode pensar-se que é um novo protocolo de RGPD. Muitos colaboradores clicariam apenas para se assegurar de que não é o seu veículo.
8. Falha na entrega do serviço de estafetas. Este é um truque testado e comprovado que os cibercriminosos utilizam há anos. Nos dias de hoje é especialmente credível, tendo em conta o aumento das compras através da internet e dos envios ao domicílio. Uma vez que, na maioria dos casos, é o vendedor que seleciona a empresa de entregas com que trabalha, é fácil que os colaboradores que esperam uma entrega cliquem no link, uma vez que não sabem exatamente que empresa a irá efetuar.
9. Documentos seguros. Este truque é amplamente utilizado nas fraudes de phishing, sendo que parece ser a equipa de Recursos Humanos a enviar um documento com uma razão plausível que peça o acesso dos colaboradores. O email procura convencer as vítimas a introduzir as suas passwords num local onde normalmente não teriam que o fazer, ou solicita um ajuste das configurações do computador para “melhorar a segurança”… quando na verdade é precisamente o contrário.
10. Mensagem de redes sociais. As notificações simuladas das redes sociais são truques muito utilizados – neste caso poderia tratar-se uma notificação do LinkedIn com o texto “Tem mensagem por ler de [qualquer nome]”.

Conscientes dos riscos que o aumento dos ciberataques de phishing implica, e conhecendo as consequências que podem ocorrer caso um atacante aceda à rede empresarial através do email de um dos colaboradores, os especialistas em cibersegurança da Sophos Ibéria deixam os seguintes conselhos para evitar ser vítima de um ciberataque:

• Pense antes de clicar. Ainda que a mensagem pareça inocente, há alguns exemplos que pode rever antes de carregar no link: erros ortográficos que façam duvidar de que o remetente os cometeria, terminologia que não é habitual na sua empresa, mensagens de programas que não costuma utilizar ou call-to-actions que contradigam ordens anteriores, como alterar as configurações de segurança.
• Fale com o remetente em caso de dúvida. Nunca o deve fazer respondendo ao email em questão, já que os cibercriminosos estão preparados para lhe confirmar que prossiga com a fraude. É recomendável utilizar o diretório da empresa, outros meios fiáveis ou qualquer método que permita comprovar se o email é legítimo.
• Observe os links antes de clicar neles. Os atacantes costumam utilizar servidores temporários na Cloud para alojar as suas páginas web de phishing e o nome do website malicioso costuma aparecer no domínio da página para a qual o encaminham. Não confie, mesmo que o nome do servidor lhe soe familiar, pois os cibercriminosos registam nomes “pouco falsos” como o nome da sua empresa, embora substituindo caracteres de texto por números ou com ligeiras falhas de ortografia.
• Informe a equipa de segurança sobre os e-mails suspeitos. As fraudes de phishing são enviadas a muitos utilizadores ao mesmo tempo, pelo que informar a equipa de TI de uma nova ameaça permitirá criar alertas e avisar o resto da equipa, para que ninguém caia na armadilha. É recomendável que a equipa de TI e segurança conte com um endereço de e-mail interno e fácil de recordar, para onde estas mensagens possam ser enviadas.

Como parte das ações levadas a cabo pela empresa no âmbito do Mês Europeu da Cibersegurança, a Sophos oferece um completo calendário de webinars – tanto para parceiros como para profissionais e clientes – através dos quais pode estar a par das últimas ameaças de cibersegurança e saber quais as melhores soluções para as enfrentar. Neste calendário serão abordados temas como: a importância de as empresas contarem com um serviço de deteção e resposta face a ameças (MTR), as melhores práticas em cibersegurança ou a apresentação da nova solução Sophos Rapid Response, para atuar com rapidez e eficácia frente a qualquer ciberataque. Pode aceder a toda a informação sobre os webinars da Sophos no Mês Europeu da Cibersegurança neste link.