Não é novidade que gostamos de clicar em links. Claro que alguns são mais "resistentes" a essa vontade, mas alguns são piores. Porém, sempre esperamos que os profissionais dos mais altos níveis da empresa, em especial altos executivos e o C-level, sejam mais resistentes à tentação de clicar em links, mas não é o que acontece e temos tido provas cada vez maiores de que os cibercriminosos são ótimos em mirar nos alvos de mais alto valor – prática conhecida como "whale phishing".
Ultimamente, os hackers passaram a usar as redes sociais para pesquisar hábitos dos executivos, como seus hobbies, para forjar e-mails de parceiros – também descobertos nas mídias sociais – infectados com malwares.
Esse tipo de ataque está se tornando cada vez mais comum porque CEOs e altos executivos têm em seus notebooks informações incrivelmente valiosas – muito mais que as "tradicionais" informações pessoais identificáveis envolvidas na maioria das violações de dados, mas propriedade intelectual e outros dados sensíveis, como acordos em progresso, clientes chave e e-mails comprometedores. Esse é o tipo de informação que hackers vendem para concorrentes ou pedem um resgate em troca.
Quanto mais baseado em pesquisa for um ataque de phishing, maior será sua efetividade. Quanto mais o cibercriminoso sabe sobre sua vítima, maiores são as chances de ganhar sua confiança. Afinal, em qual e-mail você prefere clicar: um e-mail da Receita Federal cobrando uma dívida da qual você não sabe ou um e-mail do seu banco – e da sua agência – dizendo que seu cadastro está desatualizado e que você deve confirmar suas informações por meio do link dado no corpo do texto?
Cuidado com as redes sociais
Uma pesquisa da empresa de segurança americana Digitalis mostra que os executivos em geral não são muito bons em ajustar suas configurações de privacidade no Facebook e em outras redes sociais. O estudo mostrou que menos da metade dos entrevistados restringem quem pode ver seu perfil. E apenas 36% têm configurações atualizadas nas mídias sociais.
Isso não significa que os executivos não possam estar nas mídias sociais, muito pelo contrário. Quando os executivos não estão nas redes sociais, os hackers fazem esse trabalho, criando um perfil falso e mantendo-o sob seu controle para usá-lo em ações de phishing sofisticadas.
O melhor que os executivos têm a fazer é cuidar de sua própria identidade nas redes sociais, zelando pelo que é divulgado em seus perfis. Assim como nada na rede corporativa deve ficar aberto para todos, nas mídias sociais, o ideal é que as configurações de privacidade sejam alteradas de "Público" para "Apenas amigos".
Mesmo com boas configurações de privacidade, um hacker habilidoso ainda pode usar informações disponíveis apenas para amigos para obter bons palpites sobre hábitos, interesses e preferências de seu alvo.
Não existem respostas fáceis quando o assunto é a proteção dos executivos contra os ataques com alvo. O mais importante, no entanto, é monitorar e detectar eventos incomuns na rede para reduzir os riscos. Qualquer alarme envolvendo contas do C-level deve ser levado muito a sério.
Carlos Rodrigues, gerente regional da Varonis na América Latina.
