Ciberameaças: RH é o alvo da vez

Entenda os motivos pelos quais os computadores do departamento de recursos humanos são especialmente vulneráveis e como protegê-los.

Algumas profissões são simplesmente mais suscetíveis a ciberataques do que outras, independentemente do tipo de negócio. Hoje, estamos nos concentrando nas ciberameaças destinadas a profissionais que atuam na área de recursos humanos. A razão mais simples, mas longe de ser a única, é que os endereços de e-mail dos funcionários de RH são fáceis de encontrar porque são publicados em sites corporativos para fins de recrutamento.

Ciberameaças visando o RH

Nos recursos humanos, os funcionários ocupam uma posição bastante incomum: eles recebem montanhas de e-mails de fora da empresa, mas também tendem a ter acesso a dados pessoais que a empresa não pode se dar ao luxo de vazar.

Caixa de entrada

Normalmente, os cibercriminosos invadem o perímetro de segurança corporativa enviando a um funcionário um e-mail contendo um anexo ou link malicioso. É por isso que sempre aconselhamos a não abrir e-mails suspeitos com anexos ou clicar em links enviados por pessoas desconhecidas. Para um profissional de RH, esse conselho seria ridículo. A maioria dos e-mails externos que eles recebem provavelmente vem de desconhecidos e muitos incluem um anexo com um currículo (e às vezes um link para um portfólio de trabalho). Ainda podemos imaginar que pelo menos metade desses e-mails e anexos parece suspeita.

Além disso, portfólios ou amostras de trabalhos anteriores às vezes vêm em formatos incomuns, como arquivos de programas CAD altamente especializados. A própria natureza do trabalho exige que os funcionários de RH abram e revisem o conteúdo de tais arquivos. Mesmo que esqueçamos por um momento que os cibercriminosos às vezes disfarçam o verdadeiro propósito de um arquivo alterando a extensão do arquivo (é um arquivo CAD, fotos RAW, um DOC, um EXE?), nem todos esses programas são mantidos atualizados, e nem todos foram testados exaustivamente quanto a vulnerabilidades. Os especialistas costumam encontrar brechas de segurança que permitem a execução arbitrária de códigos, mesmo em softwares amplamente e regularmente analisados, como o Microsoft Office.

Acesso a dados pessoais

As grandes empresas podem ter uma variedade de especialistas responsáveis pela comunicação com os candidatos às vagas e, internamente, com os funcionários atuais, porém é mais provável que as pequenas empresas tenham apenas um representante de RH para todas as situações. Essa pessoa provavelmente tem acesso a todos os dados pessoais mantidos pela empresa.

No entanto, se você está procurando causar problemas, comprometer apenas a caixa de entrada do RH geralmente resolve. Os candidatos que enviam currículos podem dar permissão explícita ou tácita a uma empresa para processar e armazenar seus dados pessoais, mas eles definitivamente não concordam em entregá-los a estranhos. Os cibercriminosos podem aproveitar o acesso a essas informações para chantagem.

E no tópico de extorsão, também devemos considerar o ransomware. Antes de privar o proprietário do acesso aos dados, os vírus mais recentes geralmente os roubam primeiro. Se esse tipo de malware chegar a um computador de RH, os ladrões podem ganhar na “loteria” de dados pessoais.

Um ponto de apoio para ataques BEC mais convincentes

Confiar em funcionários sem treinamento ou com pouca experiência para cometer erros é arriscado. O ataque de comprometimento de e-mail corporativo (BEC sigla em inglês), mais difícil, porém mais eficaz, é agora protagonista. Estes tipos de ataque, muitas vezes, visam tomar o controle da caixa de entrada de um funcionário e convencer seus colegas a transferir fundos ou encaminhar informações confidenciais. Para garantir o sucesso, os cibercriminosos precisam sequestrar a conta de e-mail de alguém cujas instruções provavelmente serão seguidas – na maioria das vezes, um executivo. A fase ativa da operação é precedida pela longa e árdua tarefa de encontrar um funcionário de alto escalão adequado. E aqui, uma conta de e-mail do RH pode ser muito útil.

Se por um lado, conforme mencionado acima, é mais fácil fazer o RH abrir um e-mail ou link de phishing. Por outro lado, sabe-se também que os funcionários da empresa provavelmente confiarão em um e-mail dos recursos humanos. O RH envia regularmente os currículos dos candidatos aos chefes de departamento. Claro, o departamento também envia documentos internos para a empresa como um todo. Isso torna o sequestro de uma conta de e-mail desse setor, uma plataforma eficaz para lançar um ataque BEС e para movimentação lateral em toda a rede corporativa.

Como proteger computadores do departamento de RH

Para minimizar a probabilidade de intrusos invadirem os computadores do departamento de RH, recomendamos seguir estas dicas:

  • Se possível isole os computadores de RH em uma sub-rede separada, minimizando a probabilidade de propagação da ameaça para a rede corporativa, mesmo no caso de um computador ser comprometido;
  • Não armazene informações de identificação pessoal em estações de trabalho. Em vez disso, mantenha-as em um servidor separado ou, melhor ainda, em um sistema feito para essas informações e protegido com autenticação multifator;
  • Preste atenção aos conselhos dos profissionais de RH nos treinamentos de conscientização de cibersegurança para a empresa – e coloque-os em primeiro lugar na fila para esse treinamento;
  • Incentive o pessoal de RH a prestar atenção aos formatos dos arquivos enviados pelos candidatos. Os recrutadores devem ser capazes de localizar um arquivo executável e saber como não colocá-lo em operação. O ideal é que trabalhem juntos para elaborar uma lista de formatos de arquivo aceitáveis para currículos e exemplos de trabalho e incluam essas informações nas listas de candidatos de boa-fé.

Por último, mas não menos importante, siga as práticas básicas de segurança: atualize o software nos computadores de RH em tempo hábil, mantenha uma política de senha rígida e fácil de seguir (sem senhas fracas ou duplicadas para recursos internos; altere todas as senhas regularmente), e em cada máquina instale uma solução de segurança que responde prontamente a novas ameaças e identifica tentativas de explorar vulnerabilidades no software.

Dicas