quarta-feira, 20 de fevereiro de 2013

Crackers usam funcionários em casa como "ponte" para invadir empresas

Cibercriminosos usam phishing para enganar empregados que trabalham em home office que, atingidos, levariam a infecção direto ao objetivo principal: a empresa


Funcionários que trabalham em home office podem ser uma porta fácil que permite ataques direcionados contra as defesas de e-mails de organizações, segundo um estudo feito pela empresa de treinamento de segurança PhishMe.

Em uma pesquisa realizada com mil funcionários ingleses, 49% disseram estar mais preocupados em serem alvos em suas casas do que no trabalho. Outros 36% acreditavam que o risco era praticamente o mesmo em ambos os ambientes.

O nível absoluto de ataques de phishing experimentados era baixo, mas mais da metade dos entrevistados disse que recebem entre uma e 9 mensagens desse tipo por dia, e quase 6% recebem mais de 10. Um em cada 5 entrevistados disse que já foi enganado para que clicasse em links dentro de e-mails phishing.

Phishing é um método que consiste no envio de links ou anexos maliciosos em e-mails direcionados a possíveis vítimas. As mensagens parecem ser legítimas e incentivam o usuário a clicar no link, que o levará a um site malicioso, ou abrir o anexo. A intenção é roubar dados pessoais e ganhar acesso a máquinas ou redes. Quando o ataque é personalizado (contém o nome da vítima, por exemplo) ele recebe o nome de spearphishing.

A esmagadora maioria dos entrevistados afirmou ter suspeitado de mensagens que pareceram vir do departamento de TI, que diziam estar verificando a conta. Mas uma pequena minoria teria clicado no link ou respondido o e-mail pedindo por mais detalhes.

Cerca de um quarto dos entrevistados não tinham 100% de certeza do que seria um e-mail phishing.

Lendo as entrelinhas, a maior fraqueza de todas é o simples fato de que os trabalhadores muitas vezes não se vêem como alvos, especialmente quando fora do ambiente corporativo, e assumem que apenas as pessoas com nível superior serão alvos no trabalho.

"Alguns funcionários erroneamente acreditam que não possuem um papel importante o bastante para que um cracker tente atingi-los com ataques direcionados", afirmou o CTO da PhishMe, Aaron Higbee. "Se o objetivo principal do criminoso é simplesmente obter acesso interno à rede, ele não fará diferença. Todos são alvo em potencial. Os métodos são cada vez mais sofisticados e cibercriminosos utilizam plataformas sociais mais e mais para personalizar mensagens e enganar as  pessoas para abri-las."

Uma vez que o funcionário é enganado, o risco é de que a infecção seja levada à empresa da vítima via laptop, USB ou até mesmo VPN (Virtual Private Network, ou Rede Privada Virtual, em tradução).

Ao usar esse tipo de golpe, cibercriminosos estão apenas pensando lateralmente. Os funcionários provavelmente possuem hábitos de navegação e de e-mail diferentes quando estão em ambientes corporativos, seja utilizando notebooks da empresa, seja utilizando seus próprios dispositivos.

"A maioria das pessoas usa pouca segurança em casa para proteger seus PCs, no máximo um antivírus, então as habilidades que aprenderam no trabalho podem ajudá-los - e muito - quando se depararem com um scam ou phishing, que de outro modo poderia custar muito caro", afirmou Higbee.

Fonte: IDGNOW

Pesquisar neste blog