Emails automáticos, aqueles que são configurados quando um funcionário entra em férias, por exemplo, são um perigo tanto para o funcionário quanto para a empresa, afirma a Kaspersky.
A informação sobre a ausência pode ser suficiente para a viabilização de um ataque direcionado
Como a empresa de segurança nota, normalmente, essas mensagens incluem a duração da viagem, informações de contato da pessoa que responsável pela substituição, e às vezes dados sobre projetos atuais. O perigo, contudo, está em quem recebe essas mensagens. Se um colaborador não restringe a lista de destinatários, esse tipo de email irá para qualquer pessoa que lhe direcione uma mensagem – e esse poderia ser um cibercriminoso ou spammer que conseguiu passar pelos filtros. “A informação sobre a ausência poderia ser suficiente para a viabilização de um ataque direcionado”, afirma a Kaspersky.
Ao responder automaticamente qualquer email, principalmente um golpe, o cibercriminoso “do outro lado da linha” aprende que o domínio é válido e que pertence a uma pessoa específica. Nome completo, cargo, empresa, número telefônico (em algumas assinaturas) e email já são dados obtidos por este caminho.
Respostas automáticas são alvos fáceis, oferecem um tesouro de dados para engenharia social de diversos propósitos
"Quando uma pessoa real é detectada no outro lado da linha, os cibercriminosos a marcam como alvo viável e começam a mandar e-mails com mais frequência. Podem até ligar. Mas isso não é o pior”, diz a Kaspersky. “Se a mensagem automática é enviada a um email de phishing, a informação que fornece sobre o colaborador substituto, o que pode incluir nome, cargo, horário de trabalho e até telefone, pode ser usada para organizar um ataque de spear-phishing. O problema não afeta apenas grandes empresas. Na verdade, respostas automáticas são alvos fáceis, oferecem um tesouro de dados para engenharia social de diversos propósitos”.
Spear-phishing é um phishing clássico em esteroides, voltado para atacar uma única pessoa. Phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
Para se proteger desses golpes, a Kaspersky enviou uma lista de boas práticas:
- Determine quais colaboradores realmente precisam delas. Se um funcionário lida com poucos clientes, pode notificá-los diretamente de sua ausência, seja por e-mail ou telefonema
- Para colaboradores cujas tarefas estão sendo cobertas por apenas uma pessoa, faz sentido utilizar redirecionamentos. Claro, nem sempre é conveniente, mas garante que mensagens importantes não sejam perdidas
- Recomenda-se que colaboradores criem duas opções de resposta automática – uma para endereços internos e outra para externos. Informações mais detalhadas aos colegas, enquanto, as pessoas de fora devem saber o mínimo possível
- Se um colaborador se corresponder com colegas apenas, elimine a ideia de respostas automáticas para endereços externos
- Em qualquer caso, aconselhe funcionários quanto ao fato de que essas mensagens não devem possuir informações supérfluas. Nomes de linhas de produtos ou clientes, número de telefones de colegas, informações sobre onde e quando colaboradores estarão de férias, e outros detalhes do tipo
- No servidor de email, use uma solução de segurança que detecta automaticamente spam e tentativas de phishing, e verifica anexos em busca de malware ao mesmo tempo
Fontes
Categorias