Todas as empresas possuem seus detalhes quando falamos do comportamento da ferramenta e-mail, algumas áreas recebem mais anexos de fontes desconhecidas do que outras. É o caso das áreas de Recursos Humanos que interagem o tempo todo com documentos vindos de pessoas desconhecidas.
Esse comportamento pode converter o departamento de RH no principal canal de entrada de ataques de phishing. Por trás do simples envio de um currículo em PDF ou DOC, ou até em uma troca de mensagens no LinkedIn, pode estar se desenrolando um golpe para roubar informações da empresa e de seus funcionários. Outros setores da empresa, como Financeiro e Comercial por exemplo, podem ser atingidos através de um ataque de phishing direcionado ao RH.
Veja alguns casos de como o phishing pode entrar na empresa via RH:
Anexos
Estes são os tipos de phishing mais comuns. O atacante envia uma mensagem para o RH se apresentando como um candidato a qualquer vaga, ou uma pessoa que deseja incluir seu currículo na base, mesmo que a empresa não tenha vagas abertas.
Junto com a mensagem do candidato há um arquivo com o suposto currículo no formato DOC, PDF ou ZIP. Ao clicar no anexo é feito o download e o phishing é executado.
E-mais com links
Esse também é um ataque muito simples. O suposto candidato envia uma mensagem dizendo que o seu currículo, ou portfólio, pode ser acessado em um determinado site. Mesmo que o link tenha a aparência de um site conhecido e confiável, este pode direcionar o usuário para outra página sob o controle do atacante.
Site de submissão de CV
Muitas empresas criam páginas na internet para que os candidatos submetam seus currículos. Esta medida pode livrar as caixas de e-mail dos selecionadores de boa parte do spam que receberiam, caso o e-mail de seleção fosse divulgado para o mundo. Entretanto, isso não elimina totalmente o risco de os atacantes usarem estes canais para enviar arquivos com phishing.
Pesquisadores recentemente divulgaram um relatório sobre a atividade de um grupo de fraudadores que criaram mais de vinte contas falsas no LinkedIn com perfis variados, desde analistas até diretores.
As pessoas que estavam por trás do ataque estabeleceram uma rede de relacionamento entre as contas, de modo que umas recebiam recomendações das outras. O objetivo de todo esse cenário era o de estabelecer contato com áreas de recursos humanos e executivos para que fosse possível submeter ataques a diversas empresas.
O que fazer?
Muito cuidado com os anexos. Evite abrir os arquivos diretamente, o melhor é executar o antivírus para qualquer arquivo salvo. Outra solução interessante é submeter o arquivo ao site Virustotal.com que analisa o arquivo com mais de 50 antivírus e lhe oferece um relatório.
Não clique em links suspeitos. Antes de clicar em qualquer link – mesmo que seja de site conhecido – passe o cursor do mouse sobre o link e verifique se o endereço que aparece no rodapé do navegador (ou na ferramenta de e-mail) corresponde ao endereço enviado.
O recrutador precisa ficar muito atento também aos perfis do LinkedIn. É necessário checar se as empresas em que o candidato cita como experiência realmente existem e se as pessoas que o recomendam trabalham também em empresas existentes. É importante averiguar ainda quem são seus contatos, se eles se concentram em empresas da mesma área de atuação ou cidade que o candidato alega ter trabalhado.
Teste a sua equipe
A melhor forma de previnir um ataque é conhecer as armas do inimigo. Com El Pescador, a primeira plataforma educativa contra phishing no Brasil, você pode testar a sua equipe de Recursos Humanos com uma série de campanhas direcionadas. Nossa equipe simula golpes de phishing feitos especificamente para o setor de RH da sua empresa, com o intuito de avaliar a capacidade de resistência dos seus funcionários. Aqueles que forem fisgados por nossas campanhas, serão encaminhados para um treinamento que vai ensiná-los a reconhecer este tipo de ataque. Entre em contato conosco pelo site e solicite uma campanha demo com El Pescador.
