Cibercriminosos usam email falso sobre avaliação de desempenho

Golpistas atraem funcionários para um site de phishing solicitando avaliações de desempenho, mas na verdade estão roubando credenciais de contas corporativas.

Os cibercriminosos estão criando novas maneiras de induzir os funcionários a entrar em sites de phishing com objetivo de roubar as credenciais de contas corporativas. As campanhas de spam anteriores usaram convites do SharePoint e mensagens de voz como base para o golpe.

Recentemente, nossos especialistas descobriram outro esquema de phishing no qual os cibercriminosos tentam imitar o processo de avaliação de desempenho da empresa-alvo. O ataque ocorre por duas vias: os destinatários acham que a avaliação (a) é obrigatória e (b) podem levar a um aumento salarial. Vale a pena notar que em algumas empresas essas avaliações fazem parte da rotina do processo de revisão salarial e é por isso que não levantam suspeitas.

O funcionário recebe uma mensagem que parece ser do RH, indicando que há uma avaliação de desempenho. O texto da mensagem contém um link para um site com um “formulário de avaliação” a ser preenchido.

Mirando os novatos

Segundo as instruções, o usuário deve abrir o link, efetuar login, aguardar um e-mail com detalhes adicionais e selecionar uma das três opções. Para qualquer novato na empresa que não conhece o processo de avaliação, a sequência de etapas pode parecer convincente. Somente o endereço do site (que não está relacionado a nenhum recurso corporativo) poderia levantar suspeitas.

Se o funcionário abrir o link, ele verá uma página de login do “portal do RH”. Ao contrário de muitos recursos de phishing que parecem páginas de login para serviços de negócios, este parece bastante primitivo, com um fundo monocromático ou gradiente brilhante e campos de entrada de dados que cobrem a página. Por uma questão de autenticidade, os golpistas convidam o usuário a aceitar a política de privacidade (sem fornecer um link para esse documento).
A vítima recebe uma solicitação para inserir seu nome de usuário, senha e endereço de e-mail. Em alguns casos, os golpistas os direcionam para inserir seu endereço comercial. Ao clicar no botão “Entrar” ou “Avaliação”, o funcionário na verdade encaminha os dados para os cibercriminosos.

O funcionário pode esperar um pouco – em vão – pela chegada do e-mail prometido, com mais detalhes. Na melhor das hipóteses, eles podem suspeitar que algo está errado ou enviar um lembrete gentil ao departamento de RH real, que notificará a segurança de TI. Caso contrário, a empresa poderá não detectar o roubo de credenciais por meses.

Os perigos do sequestro de contas corporativas

Tudo depende, é claro, de quais tecnologias a empresa em questão implementa. Após obter as credenciais de um funcionário, o cibercriminoso pode cometer danos, por exemplo, enviando e-mails de phishing direcionados no nome da vítima para outros funcionários, parceiros ou clientes da empresa.

O invasor também pode obter acesso a e-mails ou documentos confidenciais internos, o que aumenta as chances de um ataque bem-sucedido: as mensagens que parecem vir da vítima provavelmente não apenas ignoram os filtros de spam, mas também levam os destinatários a uma falsa sensação de segurança. Posteriormente, informações roubadas também podem ser usadas para vários tipos de ataques direcionados à própria empresa, incluindo comprometimento de e-mail comercial (BEC, na sigla em inglês).

Além disso, documentos internos e mensagens de funcionários também podem ser utilizados para outros usos, como chantagem ou venda a concorrentes.

Como se defender contra ataques de phishing

Portanto, é vital garantir que os funcionários estejam familiarizados com os procedimentos e processos de cibersegurança da empresa.

  • Emita lembretes regulares de que os colaboradores devem tratar os links em e-mails com cautela, abrindo-os apenas se a autenticidade for confirmada;
  • Lembre a equipe para não inserir os detalhes da conta comercial em nenhum site externo;
  • Intercepte os e-mails de phishing antes que eles cheguem perto da caixa de entrada de qualquer pessoa. Para isso, instale uma solução de segurança no nível do servidor de mensagens. O Kaspersky Security for Mail Server ou Kaspersky Endpoint Security for Business Advanced darão conta do trabalho.
Dicas