Nas grandes empresas, dificilmente, o funcionário médio é questionado sobre suas aspirações de carreira, áreas de interesse ou realizações fora de seu escopo de trabalho. Isso tende a acontecer uma vez por ano, no máximo, durante a avaliação de desempenho. No entanto, muitos gostariam de compartilhar seus pensamentos com a gerência com mais frequência. Portanto, quando um convite para fazer uma autoavaliação chega na caixa de entrada, os mais ansiosos o aceitam sem hesitação. E é isso que os cibercriminosos exploram na mais recente campanha de spear phishing.

E-mail de phishing com convite

Aparentemente proveniente do setor de Recursos Humanos, um e-mail chega contendo uma descrição elaborada do procedimento de autoavaliação do funcionário, que “promove um diálogo aberto entre os membros da equipe e seus gerentes/supervisores”. Continua dizendo que “você pode aprender muito sobre seus pontos fortes e pontos fracos… para refletir sobre seus sucessos, áreas de desenvolvimento e objetivos de carreira”. No geral, é um discurso corporativo bastante convincente.

Por mais convincente que seja, o e-mail ainda contém alguns pontos que acedem alerta vermelhos associados a phishing. Para começar, confira o domínio no endereço do remetente. Isso mesmo, ele não corresponde ao nome da empresa. Claro, é possível que o departamento de RH esteja usando um contratante desconhecido para você, mas por que “Family Eldercare” estaria fornecendo tais serviços? Mesmo que você não saiba que se trata de uma organização sem fins lucrativos que ajuda famílias a cuidarem de parentes idosos, o nome deveria despertar desconfiança.

Além disso, o e-mail diz que a pesquisa é “OBRIGATÓRIA para TODOS” e deve ser concluída “até o final do dia”. Mesmo deixando de lado a falta de elegância e da grosseria implícita, a urgência excessiva sempre é motivo para parar e pensar — e verificar com o verdadeiro departamento de RH, se ele é realmente o remetente da mensagem.

Formulário de autoavaliação falso

Aqueles que não percebem os alertas vermelhos e clicam no formulário se deparam com um conjunto de perguntas que podem estar relacionadas à avaliação de seu desempenho. Mas o cerne da operação de phishing está nas três últimas perguntas — que pedem à vítima que forneça o endereço de e-mail e a senha para autenticação e, em seguida, uma nova inserção para confirmação.

Isso é, na verdade, uma jogada inteligente por parte dos golpistas. Normalmente, phishing desse tipo leva diretamente do e-mail a um formulário para inserir credenciais corporativas em um site de terceiros, o que faz muitos ficarem desconfiados imediatamente. No entanto, aqui, o pedido de senha e endereço de e-mail (que geralmente serve como usuário) está disfarçado como parte do formulário — e bem no final. Nesse estágio, a guarda da vítima já está baixa.

Também observe como a palavra “password” (“senha”) está escrita: duas letras são substituídas por asteriscos. Isso é feito para burlar filtros automáticos configurados para buscar “senha” como palavra-chave de detecção de ameaças.

Como se manter protegido

Para evitar que os funcionários da empresa caiam em golpes de phishing, mantenha-os informados sobre todos os truques mais recentes (por exemplo, encaminhando nossas publicações sobre as artimanhas de phishing).

Idealmente, os funcionários nunca deveriam sequer ver a maioria dos golpes de phishing graças às estratégias de cibersegurança: instale soluções de segurança com tecnologia antiphishing tanto no nível do gateway de e-mail corporativo quanto em todos os dispositivos de trabalho usados para acesso à internet.

Fonte: Kaspersky