Os ciberataques de phishing mais tentadores para os colaboradores

Desde que o teletrabalho se converteu numa rotina diária para muitos portugueses, a preocupação das empresas com a cibersegurança dos seus colaboradores e redes corporativas tem vindo a aumentar. Ao desempenhar o seu trabalho de forma remota, os colaboradores precisam, de certa forma, de atuar como sendo os seus próprios departamentos de IT, uma vez que não têm consigo um colega do departamento informático que os possa aconselhar no momento sobre o que fazer ou não fazer perante quaisquer possíveis incidentes ou situações suspeitas.

Os ataques de phishing cresceram de forma meteórica durante o último ano, já que os atacantes continuam a aperfeiçoar as suas táticas e a reutilizar as de maior sucesso. Num ataque de phishing os cibercriminosos enviam uma mensagem eletrónica que leva as vítimas a fazer algo inseguro, como fornecer passwords, números de cartão de crédito ou moradas. Este tipo de ataques é muito rentável e cada vez mais sofisticado, incluindo já muito menos falhas ortográficas, combinações de idiomas ou outros sinais que ajudavam a pôr em causa a legitimidade da mensagem.

No âmbito da celebração do oitavo Mês da Cibersegurança da União Europeia, que acontece em outubro de 2020, a Sophos Ibéria levou a cabo uma investigação para saber quais os “ganchos” utilizados nos ataques de phishing que mais tentam os colaboradores.

“O phishing é um tipo de ciberataque a que é necessário prestar especial importância, já que é simples de utilizar, tem muito sucesso e é tremendamente rentável para os cibercriminosos. Ainda que possa parecer surpreendente, muitas das fraudes identificadas pela Sophos não eram relacionadas com assuntos prioritários ou de emergência, mas com coisas quotidianas que pareciam suficientemente plausíveis para levar a vítima a carregar no link”, explica Ricardo Maté, Diretor-Geral da Sophos Ibéria.

Durante o ano passado, estes foram, por ordem de importância, as dez principais ameaças de phishing:

1. Código de conduta. O colaborador recebe uma comunicação do departamento de Recursos Humanos que expõe os novos códigos de conduta da empresa. Uma vez que a maioria dos colaboradores sabe que é um conteúdo de leitura obrigatória, é a fraude com maior sucesso.
2. Resumo do encerramento atrasado do ano fiscal. Este email notifica os colaboradores de que a sua documentação fiscal vai chegar-lhes com atraso, e oferece um link através do qual poderão saber de quanto tempo será o atraso. Sendo esta uma informação bastante relevante, muitos colaboradores acedem ao mesmo para perceber o que acontecerá à sua documentação.
3. Manutenção programada do servidor. Ainda que seja surpreendente que esta ameaça fique na 3.ª posição, uma vez que é provável que muitos colaboradores ignorem este tipo de mensagem, o teletrabalho alterou alguns comportamentos e saber quando o acesso pode ser interrompido é agora mais relevante.
4. Novas tarefas. Esta ameaça é um phishing semi-direcionado, já que o administrador simula utilizar o mesmo programa interno da empresa para que o ataque não seja tão óbvio. É necessário ter em conta que os cibercriminosos conhecem a maioria das ferramentas corporativas e podem utilizá-las contra as empresas.
5. Novo teste do sistema de email. Apenas exige um clique rápido num email para ajudar um colega – a probabilidade de que pelo menos uma pessoa bem-intencionada clique no link é elevada.
6. Atualização da política de férias. A crise do coronavírus obrigou muitas empresas a alterar as suas políticas de férias, uma informação de grande interesse para toda a equipa, e que representa também um risco importante.
7. Deixou as luzes acesas? Nesta mensagem, o suposto administrador do edifício informa que um dos carros dos colaboradores ficou com as luzes acesas. Receber um link através do qual se pode aceder à imagem do veículo em questão poderia parecer suspeito, mas também pode pensar-se que é um novo protocolo de RGPD. Muitos colaboradores clicariam apenas para se assegurar de que não é o seu veículo.
8. Falha na entrega do serviço de estafetas. Este é um truque testado e comprovado que os cibercriminosos utilizam há anos. Nos dias de hoje é especialmente credível, tendo em conta o aumento das compras através da internet e dos envios ao domicílio. Uma vez que, na maioria dos casos, é o vendedor que seleciona a empresa de entregas com que trabalha, é fácil que os colaboradores que esperam uma entrega cliquem no link, uma vez que não sabem exatamente que empresa a irá efetuar.
9. Documentos seguros. Este truque é amplamente utilizado nas fraudes de phishing, sendo que parece ser a equipa de Recursos Humanos a enviar um documento com uma razão plausível que peça o acesso dos colaboradores. O email procura convencer as vítimas a introduzir as suas passwords num local onde normalmente não teriam que o fazer, ou solicita um ajuste das configurações do computador para “melhorar a segurança”... quando na verdade é precisamente o contrário.
10. Mensagem de redes sociais. As notificações simuladas das redes sociais são truques muito utilizados – neste caso poderia tratar-se uma notificação do LinkedIn com o texto “Tem mensagem por ler de [qualquer nome]”.