Fraude salarial: quando a cibersegurança se torna uma questão de RH

Costuma-se pensar que a cibersegurança é da competência dos informáticos.
No entanto, hoje em dia, ela começa também nos serviços de RH.
Com efeito, a fraude salarial já não é apenas interna.
Agora, ela infiltra-se pelas portas digitais que abrimos todos os dias: um e-mail malicioso, uma palavra-passe esquecida ou ainda uma validação automática demasiado rápida.
Assim, a fronteira entre a segurança informática e a gestão de RH torna-se cada vez mais difusa.

Um hacker a manipular um sistema de pagamentos enquanto uma gestora de RH descobre, atónita, o desvio de salários. Ilustração de uma fraude nos pagamentos.

Por que é que a folha de pagamentos se tornou um terreno de caça?

Todos os meses, milhares de empresas transferem milhões de euros para os seus funcionários.
Neste contexto, os serviços de processamento salarial lidam com dados particularmente sensíveis: nomes, moradas, contas bancárias e números de segurança social.
Para um hacker, trata-se de uma verdadeira mina de ouro digital.

Além disso, os métodos de ataque estão em constante evolução.
Por exemplo:

Phishing direcionado (spear phishing): um e-mail falso da área de RH solicita a atualização de uma conta bancária.
Ransomware: os sistemas de processamento salarial ficam bloqueados até ao pagamento de um resgate.
Compromissão de e-mails profissionais: uma falsa ordem de transferência parece ter sido enviada pela direção.

Na verdade, bastam alguns cliques para que um salário desapareça sem que ninguém se aperceba.
É por isso que se torna essencial reforçar a vigilância a todos os níveis.

O fator humano: a falha mais perigosa

Mesmo os melhores sistemas de segurança podem ser contornados se uma pessoa clicar demasiado depressa, confirmar com demasiada facilidade ou ignorar um sinal de alerta.
Por outras palavras, a cibersegurança não depende apenas das ferramentas, mas, acima de tudo, do comportamento humano.

Assim, a segurança do pagamento não é apenas uma questão técnica.
É, acima de tudo, uma questão de consciência e vigilância.
Por conseguinte, formar as equipas para reconhecerem os sinais subtis, questionarem no momento certo e verificarem os pedidos invulgares torna-se uma prioridade.

Mapa-mundo que ilustra a propagação global dos ciberataques dirigidos aos serviços de RH, saúde, educação e transporte aéreo, símbolo de uma ameaça em expansão.

Funcionário concentrado diante de um computador, enquanto a silhueta de um hacker se encontra atrás dele, representando a falha humana explorada nos ciberataques.

Como proteger os salários hoje em dia?

Para se proteger contra estas ameaças, podem ser implementadas várias medidas simples e complementares.
Em primeiro lugar, é aconselhável instituir uma dupla validação sistemática: qualquer alteração dos dados bancários ou qualquer bónus excecional deve ser verificado por uma segunda pessoa.

Em seguida, é essencial formar e sensibilizar as equipas.
De facto, saber identificar um e-mail suspeito ou um link fraudulento pode ser suficiente para evitar uma perda financeira significativa.

Além disso, recomenda-se limitar os direitos de acesso.
Quanto mais restritos forem os acessos, menores serão os riscos.

Por fim, é útilautomatizar a deteção de anomalias.
Alguns programas de software alertam, por exemplo, para salários anormais, contas duplicadas ou transferências bancárias suspeitas.

Ao combinar estas práticas, as empresas podem, assim, reduzir consideravelmente a sua exposição ao risco.

O que a fraude salarial realmente revela

A fraude salarial não se limita a fazer desaparecer dinheiro.
Acima de tudo, ela fragiliza um elemento fundamental: a confiança.
Quando um salário é desviado, é a própria promessa da empresa para com os seus colaboradores que fica abalada.

Assim, proteger a folha de pagamentos não significa apenas proteger números.
Significa também proteger o valor do trabalho, a credibilidade ea integridade da empresa.

E num mundo digital onde tudo pode desaparecer com um clique, a confiança continua a ser a moeda mais valiosa.

Como a Hucency ajuda a prevenir a fraude na folha de pagamentos

Na Hucency, colocamos o ser humano no centro da cibersegurança.
As nossas soluções combinam formação comportamental e assistência contextual em tempo real, com o objetivo de reforçar a vigilância das equipas de RH face às fraudes.

Para além do phishing, a fraude salarial também passa pelo vishing — aquelas chamadas em que um burlão se faz passar por um superior ou um colega de trabalho para obter uma transferência bancária ou uma alteração dos dados bancários.
Para fazer face a esta situação, criámos o método mnemónico V.I.S.H.E.R.:
Verificar, Identificar, Interrogar, Sinalizar, Hesitar, Escalar, Refletir.
Esta ferramenta simples ajuda os colaboradores a detetar rapidamente uma manipulação por voz.

Leia o nosso artigo dedicado ao assunto para saber mais.

Graças às nossas auditorias de phishing e vishing, às nossas simulações realistas e à nossa tecnologia RTSA (Real-Time Situational Awareness), a Hucency ajuda cada colaborador a tornar-se um verdadeiro agente da segurança.
Em suma, proteger o processo de pagamento significa, acima de tudo, proteger a confiança dentro da empresa.