Os crimes de cibersegurança estão cada vez mais comuns. Provavelmente, você já soube de alguma notícia sobre empresas que tiveram dados expostos ou invadidos por hackers. Um estudo recente da Norton apontou que pelo menos 58% dos brasileiros afirmam já ter sofrido um ataque cibernético.
O phishing é um tipo de crime que se encaixa nessa categoria e, apesar de mais simples, é um dos mais eficazes. O que o diferencia de outros ataques digitais é o fato de que não é necessário conhecimento em tecnologia para enganar o usuário. Basta encontrar estratégias para driblar a mente humana e o roubo de dados é simplificado.
Justamente por ser um modelo fácil, as empresas são alvo constantes de phishing, e muitas vezes, o ataque acontece por meio de seus colaboradores. Por isso, proteger o sistema da companhia e conscientizar os funcionários sobre o uso consciente dos recursos digitais é importante para o seu negócio.
Este artigo irá abordar todos os detalhes sobre phishing: o que é, como ele ocorre, qual a importância para a equipe de recursos humanos e como se prevenir de tentativas de phishing nas empresas. Você vai aprender:
- O que é Phishing?
- Como funciona um ataque de phishing?
- Principais canais de ataques phishing no RH
- Por que o RH precisa de uma política anti-phishing?
- Como evitar que a empresa seja vítima de um ataque de phishing?
Está interessado? Continue a leitura!
O que é Phishing?
O phishing é um tipo de crime cibernético, que consiste em um roubo de identidade online. Neste ataque virtual, não há uma invasão dos sistemas. Os hackers atuam enganando os donos dos dados que acabam cedendo, sem perceber, as suas informações pessoais de acesso a sites, contas, entre outros.
O termo nasceu em 1996, quando cibercriminosos roubavam contas da America Online (AOL) e, no ano seguinte, ganhou popularidade na mídia. Em resumo, o phishing ocorre quando um hacker se passa por uma outra pessoa ou empresa enviando mensagens, normalmente por e-mail, para atrair o usuário que terá os dados roubados.
A origem da palavra phishing é a tradução de fishing que, em inglês, quer dizer pescar, ou seja, o criminoso fisga a vítima, que acaba fornecendo as informações ao “pescador”.
Com esses dados em mãos, normalmente, os hackers podem fazer transações bancárias, por exemplo, roubando o dinheiro da pessoa que caiu no golpe. Em outros casos, os fraudadores vendem os dados pessoais da vítima para outros criminosos, que utilizarão as informações.
Como funciona um ataque de phishing?
O phishing é um dos ataques cibernéticos mais simples de serem executados com sucesso, pois não é preciso invadir sistemas ou acessar informações criptografadas. Para ter sucesso, o criminoso precisa apenas enganar o usuário que, sem perceber, acaba cedendo seus dados pessoais de acesso a e-mails, contas bancárias, e-commerce, entre outros.
O fraudador envia um e-mail para a vítima, geralmente, com uma mensagem atrativa e que exige uma ação imediata, por exemplo, chamando o usuário para verificar com urgência sua conta bancária que será bloqueada ou para retirar o nome sujo do SPC (Serviço de Proteção ao Crédito).
Tipos de ataques
Esse é o funcionamento básico dos ataques de phishing, entretanto, existem algumas variações com o mesmo objetivo: roubar dados pessoais da vítima. Os tipos mais comuns de phishing são:
Phishing
O tipo mais tradicional de ataque. Nele, os fraudadores enviam mensagens padronizadas, de forma massiva, se passando por uma empresa ou marca conhecida, a fim de enganar o maior número de pessoas possível. Geralmente, a taxa de sucesso gira em torno de 5%.
O objetivo aqui é se beneficiar dos menos atentos e daqueles que não conhecem o golpe digital. Desta forma, mesmo uma pequena porcentagem de desavisados ainda gerará vantagens para os criminosos.
Algumas característica do ataque phishing são a presença de:
- ofertas boas demais;
- links e arquivos anexos suspeitos;
- endereço de e-mail falso;
- solicitação para fornecimento de dados pessoais;
- erros de gramática e ortografia.
Spear Phishing
Este é um modelo mais sofisticado do phishing, pois, há personalização no ataque. Antes de enviar a mensagem que atrai a vítima, o cibercriminoso faz um estudo sobre o alvo escolhido. Normalmente, tentam se passar por um conhecido, para que a mensagem tenha mais credibilidade.
As mensagens do spear phishing possuem características mais específicas, o que torna mais difícil identificar o golpe. Enquanto no modelo anterior, o texto é desleixado, neste tipo de ataque, o conteúdo é escrito com cuidado. Além disso, o spear phishing também costuma conter:
- informações pessoais sobre o remetente ou a vítima;
- endereço de e-mail confiável (ou até o endereço real ao hackear a conta do remetente);
- link e anexo, solicitando dados confidenciais e/ou pessoais;
- pedido de pagamento de boleto ou transferências bancárias.
Por conta dessa riqueza de detalhes no conteúdo, a vítima pode ter mais dificuldade em perceber o ataque, por isso, fique atento à forma como a mensagem foi escrita e sempre desconfie quando solicitarem informações confidenciais.
Spoof
Apesar de semelhante, o spoof ou técnica de spoofing não é um phishing. Neste tipo de ataque, os criminosos tentam se passar por outra pessoa ou empresa, mas não têm necessariamente um ganho financeiro.
Por detrás do spoofing, pode haver outras intenções fraudulentas como acesso a sistemas ou apenas roubar as informações dos usuários. Vale destacar que o spoof pode estar dentro do processo de phishing, mas o contrário pode não acontecer.
Engenharia social
Este movimento de atração das vítimas, presente em todos os modelos anteriores, é chamado de engenharia social. O objetivo da técnica é fazer com que o usuário acredite que tenha algo a ganhar com a atitude a ser tomada (entrar no site e fazer um cadastro, por exemplo).
Resumidamente, a engenharia social é a forma encontrada pelos cibercriminosos de enganar a mente humana, sem precisar invadir seus dispositivos ou sistemas.
Principais canais de ataques phishing no RH
Esse assunto é importante para as empresas, que são vítimas frequentes dos ataques de phishing. Como você pode imaginar, além de contar com recursos financeiros, as companhias também armazenam uma quantidade imensa de informações, de colaboradores, clientes e parceiros comerciais.
Por esse motivo, tanto o setor de recursos humanos, quanto outros profissionais das empresas tendem a ser alvo destes criminosos. Como falamos anteriormente, o phishing pode ocorrer por envio de e-mails, mensagens de texto (sms) e até via redes sociais.
Quando falamos de RH, porém, dois meios de ataque são mais comuns:
A forma mais comum de phishing em empresas é por meio de envios de e-mails, que enganam os colaboradores. O e-mail é o principal formato de comunicação entre profissionais e, por isso, é muito suscetível a equívocos humanos.
Um outro modelo que se popularizou ultimamente é o phishing no LinkedIn. A plataforma tem sido utilizada por profissionais de RH para recrutamento e seleção de talentos e pelos candidatos para encontrar uma vaga ideal.
Diante deste cenário, a rede social corporativa tem sido utilizada pelos cibercriminosos para cometer phishing e roubar os dados do usuário.
Por que o RH precisa de uma política anti-phishing?
O RH é uma das áreas mais vulneráveis de uma empresa, especialmente, porque armazena uma série de dados e recebe cada vez mais, a cada currículo recebido ou funcionário cadastrado, por exemplo. Por isso, ter uma política anti-phishing é essencial para a segurança das informações.
Alguns outros fatores também reforçam a importância de se proteger das tentativas de phishing:
Alvo principal de ataques virtuais
O setor de recursos humanos tem sido alvo constante de ataques phishing. Os cibercriminosos desejam coletar as informações dos colaboradores, da empresa em si e colocar o negócio como um todo em risco.
Lida com dados sensíveis em suas rotinas
Apesar de todas as áreas de uma companhia possuírem uma série de informações armazenadas, nenhuma delas possui dados sensíveis como o RH. Dados sensíveis são aqueles que podem ser utilizados para discriminar uma pessoa, como raça ou etnia, religião, filiação a sindicatos, opinião política, dados de saúde ou genéticos, entre outros.
Sendo assim, os profissionais de recursos humanos se tornam os mais visados pelos fraudadores.
Recebe muitos e-mails de fora
A facilidade com que podem ser enganados também é um fator agravante. Afinal, uma das dicas para impedir ataques de phishing é não abrir links ou anexos de pessoas estranhas. No caso dos analistas de RH, isso é quase impossível, considerando que recebem diariamente centenas de e-mails de candidatos com currículos e portfólios para formar um banco de talentos, além de documentação de recém-contratos.
Costuma baixar programas ou planilhas de sites não seguros
Para organizar a rotina administrativa, quando não contam com sistemas específicos de gestão, é comum utilizarem programas ou modelos de planilhas disponíveis na internet. Muitas vezes, porém, o download destes materiais é realizado em sites não confiáveis, que podem perfeitamente fazerem parte de um ataque de phishing.
A dica aqui é sempre baixar materiais de sites confiáveis, já consolidados. Como por exemplo, o Blog da Pontotel. Na nossa seção de materiais ricos você encontra diversas planilhas gratuitas que podem ajudar a rotina.
Como evitar que a empresa seja vítima de um ataque de phishing?
Este panorama e as características das empresas deixam claro que são alvos suscetíveis para os crimes cibernéticos, por isso, tomar algumas atitudes de proteção dos dados é essencial para a segurança dos dados da empresa e de seus colaboradores. Algumas dicas para evitar um ataque são:
Invista em segurança da informação
Apesar do phishing ser um ataque à mente humana, existem algumas ferramentas tecnológicas que podem auxiliar na segurança da informação, que busca garantir quatro características específicas dos dados: confidencialidade, integridade, disponibilidade e autenticidade.
Alguns softwares, por exemplo, identificam se há algum risco de presença de vírus em arquivos anexos ou apontam a origem não confiável de um remetente de e-mail. Procure proteger todos os dispositivos da empresa com esses sistemas.
Conscientização dos colaboradores
Conscientize todos os funcionários da empresa sobre a gravidade dos ataques cibernéticos e como cada um tem a responsabilidade de ficar atento às suas atividades diárias para evitar cair no golpe de phishing. O ideal é que essa preparação comece assim que o novo profissional comece a trabalhar na empresa.
Treinamento sobre as principais formas de ataque
Além de conscientizar sobre a importância da proteção aos ataques, é necessário fazer treinamentos específicos sobre cada tipo de golpe. Na maioria das vezes, o colaborador não conhece os crimes cibernéticos e não está preparado para se proteger. Sendo assim, ofereça treinamento especializado para todos os funcionários.
Enraíze a importância da segurança da informação na cultura da empresa
Mais do que oferecer treinamento, sempre relembre os colaboradores sobre o quanto a segurança da informação é essencial e quais os impactos negativos dos vazamentos de dados da companhia, dos profissionais e dos clientes. Essa deve ser uma cultura enraizada no dia a dia das pessoas.
Tenha softwares seguros em suas rotinas
Invista também em softwares de qualidade, que não apenas facilite as atividades diárias dos funcionários, mas também ofereça segurança. Opte sempre por sistemas originais e com credibilidade no mercado.
Designe pessoas para atuar como firewall Humano
Como o phishing é uma técnica que aposta nas falhas dos seres humanos para cometer o golpe, é importante contar com pessoas igualmente preparadas para lidar com esse tipo de ataque. Esses profissionais são chamados de firewall humano.
Eles são capazes de identificar tentativas de phishing ao analisar e-mails e sites que não parecem seguros e confiáveis. Assim, atuam como um complemento da proteção tecnológica dos sistemas contratados pela empresa.
Conclusão
Phishing é, então, um tipo de crime cibernético, utilizado para roubar dados confidenciais de pessoas físicas ou jurídicas, a fim de obter um ganho financeiro. Os cibercriminosos podem utilizar as informações de acesso a sites e de cartão de crédito para fazer compras em nome da vítima ou ainda vender os dados obtidos para um terceiro.
As empresas são alvos constantes deste tipo de ataque, especialmente, no setor de recursos humanos. Por isso, proteger os dados da companhia do phishing é primordial para o negócio.
Essa proteção pode ser feita por meio de segurança da informação, conscientização de colaboradores e investimento em tecnologia especializada. Além disso, treinar os funcionários sobre como se proteger deve ser ação contínua em todos os setores da empresa.
Gostou deste artigo e quer saber mais sobre temas como esse? Acompanhe o blog da Pontotel e fique por dentro das novidades.