Phishing: Como um login de e-mail roubado pode comprometer uma empresa inteira

Phishing: Como um login de e-mail roubado pode comprometer uma empresa inteira

Os negócios estão cada vez mais interessantes para os cibercriminosos

O estagiário de uma empresa de tecnologia chega para mais um dia de trabalho e abre seu e-mail corporativo antes de pegar o primeiro café. Entre as mensagens recentes, o CEO da companhia, que mal aparece no escritório, pede para que o funcionário faça login em uma nova e desconhecida plataforma, o que é prontamente atendido pelo jovem aprendiz. Isso pode parece mais um dia de trabalho normal, mas, na verdade, pode também ser um hacker personificando um executivo de alto cargo e iniciando um ataque de phishing visando roubar dados de uma companhia. E com uma simples credencial de e-mail vazada, todos os dados do negócio podem ser atingidos.

Os esquemas de phishing não são novidade no Brasil: os cibercriminosos enviam e-mails falsos em massa fingindo ser bancos ou empresas famosas para tentar fisgar os dados de alguma vítima. No ano passado, cerca de 23% dos internautas brasileiros tiveram contato com um golpe do tipo. Nosso país está entre os três locais da América Latina em que esse tipo de ataque mais tem crescido anualmente.

Um novo pote de ouro: empresas

E se as coisas já não estavam feias o suficiente, a tendência agora é piorar, principalmente no campo empresarial. Além dos modelos convencionais enviados para milhões de pessoas via e-mail, os hackers também estão trabalhando cada vez mais em novos formatos de phishing para roubar dados de empresas. Segundo o Hoxhunt, os ataques desse tipo voltados para SaaS (Softwares de Serviço), como Office e G Suite, subiram 237% de 2016 para 2017, e a tendência é que os números não parem de crescer.


Tela falsa do Google Drive usada em um ataque de phishing. Imagem: Small Business Website Primer

Graças aos muitos benefícios da nuvem para empresas, incluindo escalabilidade e acesso remoto, mais da metade das companhias no Brasil utilizam infraestrutura em cloud atualmente, com o país sendo um dos líderes da transição na América Latina. Uma das vantagens da tecnologia, porém, pode acabar virando uma fraqueza: o compartilhamento de dados. Como serviços de software em nuvem de empresas como Microsoft e Google guardam as informações da companhia a um login de distância, o descuido de segurança de um funcionário pode acabar comprometendo um negócio de maneira massiva.

Não é difícil imaginar uma empresa que mantém dados vitais compartilhados entre todos os funcionários em serviços como o Google Drive. Segundo Thiago Marques, analista de segurança da Kaspersky Lab, os cibercriminosos sabem que a maneira mais simples de chegar ao “pote de ouro” de uma companhia são descuidos dos próprios empregados. “Os cibercriminosos tendem a ver os colaboradores de uma empresa como o caminho de menor resistência em ataques cibernéticos”, explica o especialista. “Na América do Norte, por exemplo, duas das maiores causas de violações são ações descuidadas ou desinformadas de colaboradores, ataques de phishing ou outra forma de engenharia social.”

Diferentes formas de ataque


Imagem: Beauceron Security

Antes, a forma mais simples de escapar de ataques de phishing era simplesmente orientar todos da empresa a não abrirem e-mails suspeitos. Porém, agora, os cibercriminosos já utilizam outras artimanhas para obter informações sensíveis de um negócio ou pessoa de alto cargo. Além do popular correio eletrônico, já existem registros do esquema de roubo de dados por meio de SMS, propaganda de redes sociais,mensagens em apps como WhatsApp apps de nuvem.

No caso de empresas, porém, o phishing via e-mail ainda é bastante utilizado, pois é eficaz contra negócios e barato de ser feito. Segundo a Kaspersky, o correio eletrônico é uma das formas mais simples de se iniciar o golpe, pois basta comprar um domínio e começar o disparo de mensagens. Para se diferenciar e ter sucesso na empreitada contra companhias privadas, os hackers costumam fazer um trabalho mais aprofundado do que nos esquemas que visam usuários comuns. “Os criminosos entendem o modelo de negócio da empresa, buscam por informações, seja em sites da empresa ou até mesmo LinkedIn”, conta Thiago Marques.

Em 2018, os ataques de phishing geraram 35% mais prejuízo em pequenas e médias empresas do que no ano anterior

Ações como fazer uma simples pesquisa prévia acabam aumentando o grau de sucesso dos golpes. Em 2018, ataques de phishing contra pequenas e médias empresas causaram prejuízos de até US$ 120 mil, 35% a mais do que no ano anterior. Para uma startup começando agora nos negócios, uma pancada como essa pode ser fatal.

No segundo semestre de 2017, por exemplo, mais de 400 indústrias foram atingidas por uma onda de e-mails disfarçados de cartas legítimas relacionadas a compras e contabilidade. Outro ataque que está se tornando cada vez mais popular é o Business Email Compromise (BEC), que além de ter uma aproximação personalizada, também conta com interações em tempo real.

Após fazer uma pesquisa sobre o alvo, os cibercriminosos criam um e-mail falso e enviam uma mensagem para um funcionário, fingindo ser o chefe ou um colega de trabalho. A conversa começa com um papo casual, mas durante a troca de mensagens, o hacker acaba pedindo informações sigilosas do negócio ou enviando uma página falsa para que a vítima faça login e, sem saber, tenha seus dados comprometidos.

 "As empresas precisam alertar os funcionários sobre pedidos de informações, dinheiro ou senhas"

Em alguns casos, os hackers também se aproveitam de falhas do protocolo SMTP, conseguem credenciais de vazamentos online ou ataques de phishing anteriores e roubam o e-mail genuíno da pessoa que está sendo imitada. Assim, fica ainda mais difícil escapar da armadilha. Como as interações são feitas em tempo real e envolvem um trabalho aprofundado de engenharia social, esse tipo de golpe costuma ser bastante efetivo.

 "As empresas precisam alertar os funcionários sobre pedidos de informações, dinheiro ou senhas", recomenda o representante da Kaspersky. Em 2018, as perdas relacionadas à ataques de BEC bem-sucedidos foram de mais de 12 bilhões de dólares mundialmente, segundo dados da divisão de internet do FBI. Ou seja, um deslize pode acabar pesando severamente no orçamento da companhia.

Como proteger a minha empresa


Imagem: The Cyber Security Place

Com tantas ameaças, é essencial atualmente buscar meios que vão além das tecnologias antispam dos provedores de e-mail. Empresas especializadas em segurança online, como a já citada Kaspersky, possuem soluções que são úteis para oferecer uma camada extra de proteção para empresas. 

De acordo com Thiago Marques, um passo importante para empresas que lidam com informações na internet é fazer um levantamento sobre os ativos e dados da companhia e trabalhar em soluções específicas. "Uma avaliação de riscos de cibersegurança com base em ativos conhecidos tornará possível determinar ameaças viáveis de forma mais completa", comenta o especialista. Isso permite que uma organização concentre seus recursos de cibersegurança onde são mais importantes."

24% dos brasileiros acessam conteúdos de pornografia no trabalho

Além disso, outra dica é trabalhar na conscientização de todos os empregados para evitar que eles se tornem vítimas de phishing. Em 2017, 46% dos casos de golpes online envolvendo negócios começaram com negligência de funcionários. Uma pesquisa feita pela CORPA também aponta que 24% dos brasileiros acessam conteúdos de pornografia no escritório, algo que pode comprometer a segurança de redes compartilhadas. Com isso em mente, é necessário focar recursos para preparar o máximo de colaboradores que acessam dados coletivos para evitar problemas maiores.

"Os funcionários, sendo os usuários finais, são o elo mais fraco da cadeia na cibersegurança, já que seus maus hábitos online colocam em risco as redes corporativas e os dados confidenciais das empresas", comenta Marques. "As empresas devem oferecer treinamentos voltados para determinados cargos, e não apenas formações genéricas. É preciso transformar o treinamento de conscientização em algo pessoal e didático", indica o especialista.

Cuidados para o usuário final

Além de ter cuidado no trabalho, os brasileiros também não podem baixar a guarda para ataques de phishing nas horas de lazer. Mais de 90% dos golpes do tipo começam por e-mail, logo, é essencial ter cautela na hora de olhar o correiro eletrônico. Segundo mostra o Small Business Trends, os golpes por e-mail costumam envolver nomes de grandes empresas, órgãos governamentais ou serviços conhecidos. Se o remetente é um endereço desconhecido, a mensagem é apelativa ou aparenta ser falsa, evite entregar seus dados de mão beijada.

Além disso, fique alerta também nas redes sociais, pois já existem golpes que utilizam meios como o Facebook e o WhatsApp para roubar dados. Normalmente o esquema envolve um link com conteúdo para ser baixado ou um site externo com campos de preenchimento.

Logo, se receber uma promoção extraordinária via mensagem de uma fonte nada confiável, tenha cautela se quiser seguir em frente. Em casos como esse, é necessário ter bastante cuidado, pois os cibercriminosos utilizam cada vez mais artimanhas para deixar golpe mais realista. 


Imagem: Security Magazine

Uma das "cortinas de fumaça" utilizadas no phishing é o certificado HTTPS, que exibe um cadeado verde ao lado do link quando aberto no navegador. O Hoxhunt aponta que 20% dos sites usados em golpes adotavam o padrão em 2017, e a tendência é que o número continue aumentando.

A presença de um cadeado verde não garante que um site é seguro e confiável

O HTTPS é uma ferramenta de segurança que torna a troca de dados no endereço encriptada, mas pode ser utilizada por qualquer um que tenha um domínio online. Ou seja, o símbolo não garante que a pessoa por trás do site não é um hacker.

Neste cenário de insegurança online, todo cuidado é pouco. Então, no trabalho ou em casa, fique ligado para não ter seus dados ou do seu negócio sendo comprometidos, afinal, um cibercriminoso pode estar a um clique de distância.

Huawei Brasil investiga pots ofensivos em sua conta no Twitter

Huawei Brasil investiga pots ofensivos em sua conta no Twitter

Empresa pediu desculpas e diz ter identificado um uso indevido em seu perfil


Versão web do Outlook terá integração com Gmail, Google Drive e Google Agenda

Versão web do Outlook terá integração com Gmail, Google Drive e Google Agenda

Integração já está em fase de testes


Google G Suite: Nova versão da página Meus Dispositivos já está disponível

Google G Suite: Nova versão da página Meus Dispositivos já está disponível

Versão redesenhada da página ajudará os usuários a encontrar e gerenciar seus dispositivos


Seu celular Android pode não estar fazendo backup para o Google Drive há meses

Seu celular Android pode não estar fazendo backup para o Google Drive há meses

Bug ainda não foi reconhecido pela Google, mas afeta diversos aparelhos de várias marcas