Emails
automáticos, aqueles que são configurados quando um funcionário entra em
férias, por exemplo, são um perigo tanto para o funcionário quanto para a
empresa, afirma a Kaspersky.
"A
informação sobre a ausência pode ser suficiente para a viabilização de um
ataque direcionado"
Como a
empresa de segurança nota, normalmente, essas mensagens incluem a duração da
viagem, informações de contato da pessoa que responsável pela substituição, e
às vezes dados sobre projetos atuais. O perigo, contudo, está em quem recebe
essas mensagens. Se um colaborador não restringe a lista de destinatários, esse
tipo de email irá para qualquer pessoa que lhe direcione uma mensagem – e esse
poderia ser um cibercriminoso ou spammer que
conseguiu passar pelos filtros. “A informação sobre a ausência poderia ser
suficiente para a viabilização de um ataque direcionado”, afirma a Kaspersky.
Ao
responder automaticamente qualquer email, principalmente um golpe, o
cibercriminoso “do outro lado da linha” aprende que o domínio é válido e que
pertence a uma pessoa específica. Nome completo, cargo, empresa, número
telefônico (em algumas assinaturas) e email já são dados obtidos por este
caminho.
"Respostas
automáticas são alvos fáceis, oferecem um tesouro de dados para engenharia
social de diversos propósitos"
"Quando
uma pessoa real é detectada no outro lado da linha, os cibercriminosos a marcam
como alvo viável e começam a mandar e-mails com mais frequência. Podem até
ligar. Mas isso não é o pior”, diz a Kaspersky. “Se a mensagem automática é
enviada a um email de phishing, a informação que fornece sobre o colaborador
substituto, o que pode incluir nome, cargo, horário de trabalho e até telefone,
pode ser usada para organizar um ataque de spear-phishing. O problema não afeta
apenas grandes empresas. Na verdade, respostas automáticas são alvos fáceis,
oferecem um tesouro de dados para engenharia social de diversos propósitos”.
Spear-phishing
é um phishing clássico em esteroides, voltado para atacar uma única pessoa.
Phishing é um dos métodos de ataque mais antigos, já que "metade do
trabalho" é enganar o usuário de computador ou smartphone. Como uma
"pescaria", o cibercriminoso envia um texto indicando que você ganhou
algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link
acompanhante para você resolver a situação. O phishing também pode ser
caracterizado como sites falsos que pedem dados de visitantes. A armadilha
acontece quando você entra nesse link e insere os seus dados sensíveis —
normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —,
como nome completo, telefone, CPF e números de contas bancárias.
Para se proteger desses golpes, a
Kaspersky enviou uma lista de boas práticas:
- Determine quais colaboradores realmente precisam delas. Se um funcionário lida com poucos clientes, pode notificá-los diretamente de sua ausência, seja por e-mail ou telefonema;
- Para colaboradores cujas tarefas estão sendo cobertas por apenas uma pessoa, faz sentido utilizar redirecionamentos. Claro, nem sempre é conveniente, mas garante que mensagens importantes não sejam perdidas;
- Recomenda-se que colaboradores criem duas opções de resposta automática – uma para endereços internos e outra para externos. Informações mais detalhadas aos colegas, enquanto, as pessoas de fora devem saber o mínimo possível;
- Se um colaborador se corresponder com colegas apenas, elimine a ideia de respostas automáticas para endereços externos;
- Em qualquer caso, aconselhe funcionários quanto ao fato de que essas mensagens não devem possuir informações supérfluas. Nomes de linhas de produtos ou clientes, número de telefones de colegas, informações sobre onde e quando colaboradores estarão de férias, e outros detalhes do tipo;
- No servidor de
email, use uma solução de segurança que detecta automaticamente spam e
tentativas de phishing, e verifica anexos em busca de malware ao mesmo
tempo;
Fonte: KASPERSKY
Nenhum comentário:
Postar um comentário