Os primeiros dias em um novo local de trabalho costumam ser repletos de reuniões de equipe, treinamentos, sessões de integração e assim por diante. Muito barulho e pouca compreensão do que está acontecendo. Ao mesmo tempo, existem certos “rituais” que muitos novos contratados seguem hoje em dia – um dos quais é postar nas mídias sociais (mais comumente, mas não exclusivamente, no LinkedIn) sobre começar um novo emprego. Muitas vezes, as próprias empresas anunciam lá o quanto estão felizes em receber um novo membro da equipe. E é aí que o funcionário recém-contratado atrai a atenção dos golpistas.
Como regra, essas postagens de mídia social fornecem os nomes do funcionário e da empresa, bem como o cargo. Isso geralmente é suficiente para identificar o gerente da nova pessoa (através da mesma rede social ou do site corporativo). Conhecendo os nomes, você pode encontrar ou descobrir seus endereços de e-mail. Em primeiro lugar, existem muitas ferramentas de pesquisa de e-mail para ajudar com isso. Em segundo lugar, muitas empresas simplesmente usam o primeiro nome do funcionário, ou nome e sobrenome, como seus nomes de usuário de e-mail, então tudo o que é necessário é verificar qual sistema está em uso para poder descobrir o endereço. E assim que receberem seu e-mail, é hora de alguma engenharia social.
Tarefa um: transferir dinheiro para golpistas
Nos primeiros dias em um novo emprego, o funcionário provavelmente não está atualizado, mas deseja parecer assim aos olhos de colegas e superiores. E isso pode diminuir a vigilância do novo funcionário: eles executam quase todas as tarefas às pressas, sem parar para pensar de onde veio, se parece razoável ou se é da sua conta. Alguém quer que seja feito, então deve ser feito. Isso é ainda mais provável se a instrução vier de seu supervisor imediato ou mesmo de um dos fundadores da empresa.
Os golpistas exploram isso para enganar novos funcionários. Eles enviam um e-mail supostamente do chefe ou de alguém sênior (mas usando um endereço que não é da empresa) pedindo que o funcionário faça uma tarefa “imediatamente”. O novato, é claro, fica feliz em atender. A tarefa pode ser, digamos, transferir fundos para um empreiteiro ou comprar cartões presente de um determinado valor. E a mensagem deixa claro que “velocidade é essencial” e “você será pago no final do dia” (claro!). Os golpistas destacam a urgência para não dar tempo ao funcionário de pensar ou verificar com outra pessoa.
O patrão tem ar de autoridade e o empregado quer ser útil. Então, eles não param para questionar o motivo, ou porque eles foram escolhidos para realizar a tarefa. A vítima transfere o dinheiro para a conta especificada sem hesitação e informa o “chefe” no mesmo endereço de e-mail – novamente sem perceber que o nome de domínio parece suspeito.
O golpista continua fazendo o papel de chefão: pede os documentos que comprovam a transação e, ao recebê-los, elogia o funcionário e diz que vai encaminhar os documentos ao autor do pedido (o que dá uma sensação de legitimidade). Para completar a sensação de uma interação normal no local de trabalho, os invasores também dizem que entrarão em contato novamente se algo mais for necessário do (infeliz) funcionário.
Só depois de algum tempo o funcionário começa a se perguntar por que foi designado para a tarefa, localiza o endereço de e-mail que não é da empresa ou menciona o incidente em uma conversa com o verdadeiro chefe. Então a triste verdade surge: foi um golpe.
Circunstâncias agravantes
Como outros golpes relacionados ao trabalho, esse esquema se beneficiou da mudança em massa para o trabalho remoto. Até mesmo pequenas empresas começaram a contratar em todo o mundo, o que significa que alguns novos funcionários podem não apenas não saber como é seu chefe — mas também não têm como esclarecer rapidamente com um colega de trabalho, mesmo que quisessem, se a demanda parece razoável.
Além do mais, se o supervisor e a maioria dos outros funcionários trabalham em países diferentes, uma solicitação de transferência de dinheiro para alguém em sua região pode parecer muito plausível. As transferências bancárias domésticas são sempre mais fáceis e rápidas do que as internacionais, o que confere um véu de normalidade à solicitação do golpe.
Finalmente, empresas menores, que parecem ser alvos comuns, tendem a ter procedimentos menos formais de manuseio de dinheiro — sem preenchimento de formulários ou controladores financeiros: basta enviar agora, colocar em suas despesas e você receberá de volta em breve. Esse é outro fator que confere legitimidade aos e-mails fraudulentos.
Como os funcionários podem evitar a armadilha
O mais importante para um novo funcionário é não perder a cabeça tentando servir a empresa.
- É importante ficar atento aos endereços de onde chegam as mensagens por e-mail ou messenger. Se parecer estranho, redobre sua vigilância.
- Não hesite em perguntar a um colega se tal solicitação é uma prática normal. Se algo parecer estranho, é melhor perguntar agora do que se arrepender depois.
- Se você receber uma solicitação aparentemente incomum de dentro da empresa, esclareça os detalhes com o remetente usando um canal de comunicação diferente. O chefe pediu para comprar cartões presente por e-mail? Verifique com ele pelo messenger.
Como as empresas podem proteger seus funcionários
A coisa mais importante que um empregador pode fazer é configurar corretamente o servidor de e-mail da empresa. Ele pode ser configurado para sinalizar e-mails de endereços não corporativos. Por exemplo, o Google Workspace, popular entre as empresas, rotula essas mensagens como “Externas” por padrão. E quando você tenta responder a um e-mail desse tipo, ele avisa claramente: “Tenha cuidado ao compartilhar informações confidenciais”. Essas notificações realmente ajudam os funcionários a saber se estão conversando com um colega da empresa ou não. Além disso, recomendamos o seguinte:
- Realizar treinamento de segurança da informação para os funcionários logo no primeiro dia. A sessão deve apresentar o conceito de phishing (caso seja novo), bem como dar instruções sobre quais práticas são correntes na empresa e quais definitivamente não são.
- Criar um guia de segurança da informação para novos funcionários com regras básicas e cuidados contra as principais ameaças. Veja nosso post para detalhes sobre o que incluir.
- Realizar treinamentos periódicos de conscientização de segurança para todos os funcionários; por exemplo, usando uma plataforma online especializada.