Home CORPORATE ARTIGO Segurança em primeiro lugar: a faca de dois gumes da conectividade remota

Segurança em primeiro lugar: a faca de dois gumes da conectividade remota



Por Finn Faldi *

O número de golpes de suporte técnico online tem aumentado em todo o mundo desde boa parte da década passada por conta de hackers que, em busca de novas formas de enganar os consumidores, oferecem acesso remoto a seus computadores com o único objetivo de roubar informações.

Tais fraudes, testadas e comprovadas – e que têm por base uma sofisticada engenharia social alimentada com informações detalhadas -, são tão requintadas que podem enganar até o mais experiente e cético dos usuários.



Só em 2017 cerca de 2,7 milhões de norte-americanos relataram alguma forma de golpe online para a Federal Trade Commission, única agência federal dos Estados Unidos de proteção ao consumidor e competitividade em amplos setores da economia.

E, certamente, uma infinidade de outros cidadãos deixaram de reportar denúncias por constrangimento ou desgastes causados por tais experiências.

Basicamente, o que todas as fraudes online e por e-mail tem em comum o modus operandi do golpista, que tenta passar-se por alguém ou por alguma instituição confiável e de alta reputação.

Eles tentam capitalizar os valores e as normas culturais de confiança, cortesia e profissionalismo da vítima para chamar a atenção. Geralmente, eles apelam para as emoções da vítima sobre o medo de perder algo, como um serviço valioso, ou para o oportunismo do ouvinte em obter vantagem de alguma forma.

Hoje, as tais chamadas fraudes de phishing envolvem sempre alguém fingindo ser de uma empresa que a vítima conhece, confia ou faz negócios, como Apple, Microsoft ou Amazon, por exemplo.

O hacker normalmente envia um texto ou e-mail informando algum problema com a conta do usuário ou em uma entrega ou reembolso, ou ainda algum outro problema plausível. O usuário é, então, direcionado para um link que solicita a confirmação de dados da conta para evitar seu cancelamento ou ações legais cabíveis.

O interessante é que phishers quase nunca têm o nome de usuário e a senha da vítima. Se assim fosse, não teriam de se preocupar com a elaboração de estratagemas e planos mirabolantes para enganar e obter acesso a computadores de terceiros.

Ao contrário: como não tem ideia sobre tais informações, alegam que a questão é de grande urgência, traindo a boa-fé do ouvinte para obtenção de dados, imagens, arquivos de texto e até dinheiro.

Uma forma particularmente prejudicial de trapaça não envolve o uso de e-mails. A fraude pode começar com um telefonema de alguém fingindo ser o helpdesk ou pertencer ao staff da empresa de serviços de TI e que necessita dos dados do usuário para acessar remotamente o computador para correções ou atualizações.

É comum dizer ao usuário, “tudo que você precisa fazer é baixar o patch de manutenção que vou enviar e nós cuidaremos do resto”.  Pronto! É peixe na rede.

Dicas de segurança: deixando o phishing pra trás

Com tanta ‘pesca tóxica’, uma dieta de baixo ‘phish’ é boa para você e seu negócio. Cedo ou tarde, todo mundo pode receber uma chamada de telefone ou um e-mail enganoso. Por isso, pra dar certo, a dieta requer consciência, educação e disciplina.

A lógica é simples: se todos os golpes de phishing exigem que o destinatário abra ou clique em algo malicioso é necessário educar a si mesmo e a seus funcionários sobre como reconhecer, evitar e relatar tentativas de phishing.  Vigilância e ceticismo online são os mantras da vida digital.

Muitas mensagens de phishing compartilham certos elementos em comum. Um dos mais frequentes é o senso de urgência que diz ao destinatário que ele precisa fazer algo imediatamente -seja para enviar dinheiro, verificar informações ou atualizar o número do cartão de crédito no arquivo.

É uma bandeira vermelha! Bancos, agências governamentais e a maioria das organizações empresariais ainda utilizam serviços tradicionais de Correio para coletar informações, fundos e dados pessoais.

Quando receber um e-mail do seu banco que requer algum tipo de ação, faça o login no site digitando você mesmo a URL da instituição bancária. Jamais utilize o link da mensagem para acessar o site do banco.

Tal link pode ser nada mais nada menos que um ataque de malware em seu computador. Uma boa dica é deixar o mouse parado sobre um link na mensagem, sem clicar nele, para verificar o endereço real do remetente. Se parecer ‘phishy’ e não conter o domínio oficial do banco, ligue imediatamente para lá e informe sobre a tentativa de fraude.

Muitos golpes se originam no exterior, principalmente de países onde o inglês não é a língua nativa. Com isso em mente, fique esperto se o e-mail tiver frases estranhas, termos arcaicos ou palavras incorretas.

Um e-mail ou site profissionalmente escrito e proveniente de uma organização confiável jamais usaria tal tipo de linguagem ou cometeria tantos erros. É mais uma bandeira vermelha para a coleção.

Vale ainda lembrar que, para treinar funcionários, o pessoal de TI pode enviar e-mails falsos de “phishing” periodicamente a fim de identificar membros da equipe vulneráveis que possam se beneficiar de mais orientações.

As equipes de TI podem realmente ensinar os usuários a reconhecer mensagens maliciosas. Ainda assim, os golpes continuarão a evoluir enquanto os esforços contínuos de educação e conscientização, juntamente com a notificação imediata de e-mails suspeitos, não sejam práticas essenciais para manter a linha de defesa.

Nesse sentido, é primordial alertar os executivos e funcionários da empresa a ter extrema cautela em caso de suspeição de e-mails enganosos. A colaboração pode ser uma faca de dois gumes, mas, usando a defesa adequada, o usuário pode realmente assumir o controle em situações de risco.

 

* Finn Faldi é Presidente da TeamViewer Américas