Ao preparar um ataque direcionado contra uma empresa, os invasores às vezes recorrem a lixeiras, na esperança de encontrar informações úteis. Na vida real, eles não encontrarão 50 senhas válidas em uma lata de lixo, ao estilo dos Hackers, mas os cibercriminosos ainda podem encontrar muitas informações
O que não deve ir para o lixo
Mesmo os catadores de lixo mais otimistas não esperam encontrar um portfólio de documentos marcados como CONFIDENCIAL ou ULTRASSECRETO. No entanto, eles dificilmente precisam de grandes segredos para desacreditar uma empresa ou montar um ataque direcionado; qualquer resíduo corporativo ou informação pode ajudá-los a enganar os funcionários por meio da engenharia social.
Lixo comprometedor
Supondo que você não costuma jogar fora evidências de contabilidade adulterada ou relatórios sobre seus negócios que prejudicam o meio ambiente, o perigo está nos dados pessoais, tanto as informações de clientes quanto de funcionários. Hoje em dia, tal descoberta garante a atenção dos reguladores e multas expressivas.
Até hoje, no entanto, continuamos a ver casos que começam com dados pessoais descartados. Apesar dos muitos avisos e advertências, nem todos os funcionários percebem que, por exemplo, uma lista de endereços de entrega de pizza é uma informação confidencial. Muito mais preocupante, registros médicos com números de previdência social, faturas de pagamento com detalhes de cartão bancário e digitalizações de documentos de identidade também são descartados.
O que os cibercriminosos consideram útil para um ataque com engenharia social
Os cibercriminosos podem transformar as informações que encontram em documentos de trabalho, envelopes e mídia de armazenamento digital descartados sem cuidado.
Documentos de trabalho, mesmo aqueles que não contêm dados confidenciais, podem revelar o que a equipe está fazendo, a terminologia que usa, os processos que a empresa possui e muito mais. Armado com essas informações, um invasor pode se passar por um participante do processo de trabalho por e-mail ou mesmo por telefone, ajudando-o a extrair informações adicionais ou montar um ataque BEC convincente.
Os envelopes de cartas comerciais indicam sempre o destinatário e o remetente. Sabendo que um funcionário da empresa M recebe documentos em papel de representantes da empresa N, um cibercriminoso pode, por exemplo, entrar em contato com o destinatário com um pedido convincente de esclarecimento ou enviar um link malicioso que parece confirmar o recebimento de um documento físico real.
A mídia digital pode ser um verdadeiro tesouro de informações. Um smartphone quebrado pode criar listas de contatos e mensagens, úteis para imitar o antigo proprietário do dispositivo; e drives flash ou mesmo discos rígidos descartados contêm toneladas de documentos de trabalho e dados pessoais.
De modo geral, até mesmo uma sacola de delivery com o nome de um funcionário em um recibo oferece oportunidades para cibercrimes, como, por exemplo, um e-mail de phishing com links falsos para menus especiais ou programas de fidelidade. (Esse não é particularmente popular, é claro, mas pode acontecer do mesmo jeito.)
Como descartar o lixo de maneira adequada
Para começar, recomendamos minimizar ou eliminar o uso de papel como meio de armazenamento. Fazer isso não só ajudará a salvar o planeta, mas também contornará o problema do descarte.
Primeiro, destrua todos os documentos em papel que estejam de alguma forma relacionados ao trabalho da empresa. Isso significa todos, não apenas aqueles que contêm dados pessoais. Rasgue-os, inclusive os envelopes.
As mídias digitais (discos rígidos, flash sticks) não devem ser jogados no lixo. Seu próximo passo é torná-los mecanicamente inutilizáveis e levá-los a um centro de reciclagem de eletrônicos. Para discos instantâneos e ou com entrada USB, use um alicate. Para discos rígidos, use uma furadeira elétrica ou martelo. Lembre-se de que há uma unidade flash dentro de cada telefone e um disco rígido dentro de cada computador. Se você estiver jogando fora algum deles, primeiro certifique-se de que seus dados estejam ilegíveis.
Antes de jogar fora os pacotes ou sacolas de entrega de comida, rasgue e destrua as etiquetas com o nome e endereço do destinatário.
Lembre-se de que a segurança do seu negócio depende diretamente de cada funcionário da empresa, desde a recepção até a c-suite, entendendo e obedecendo as regras. Todos, independentemente da posição, precisam de conhecimento básico e prático sobre como lidar com informações potencialmente perigosas.