Teletrabalho e phishing: adote as boas práticas

Será que o teletrabalho se está a tornar mais um meio para ataques de phishing?

Embora, por diversas razões, a maioria dos funcionários encare o teletrabalho como uma experiência benéfica, a maioria dos responsáveis de TI receia os ciberataques que ameaçam as suas organizações. Com efeito, o teletrabalho implica que os utilizadores trabalhem num ambiente informático cujo nível de segurança as suas equipas não conseguem controlar (se é que existe!). Isto é, com razão, motivo de preocupação. Tanto mais que garantir a segurança do sistema de informação continua a ser uma das missões essenciais do responsável de TI.

De facto, como sabemos, uma implementação mal definida do teletrabalho pode revelar-se uma verdadeira oportunidade para os cibercriminosos. Segundo o CESIN,o phishing é o principal vetor de ataques cibernéticos graves. A recente crise da COVID-19 demonstrou-nos isso mesmo: o número de ataques de phishing aumentou exponencialmente durante este período. Sem escrúpulos, os cibercriminosos aproveitaram esta «oportunidade» para explorar as falhas de segurança e as falhas humanas.

Um aumento de 667% nos e-mails de phishing

A empresa de segurança Barracuda Networks registou assim, em março
«um aumento de 667% … nos e-mails de phishing direcionado
que exploravam o tema da Covid-19 para tentar tirar partido do medo dos utilizadores».
(fonte:Le Monde Informatique)

Estes e-mails de phishing estão repletos de anexos ou links fraudulentos. Quando o utilizador clica neles, mesmo que inadvertidamente, um software malicioso (ransomware,cavalo de Tróia) infiltra-se no sistema de informação da organização. Estes «ransomwares» também podem roubar dados confidenciais, tais como:

• a sua palavra-passe;
• os vossos dados de acesso;
• os vossos dados de contacto;
• dados confidenciais…

Os cibercriminosos também podem fazer um pedido de dinheiro invulgar. Por exemplo, a técnicade phishing direcionado, como a «fraude do presidente», cometida através da usurpação da identidade de uma terceira parte de confiança (colega, superior, etc.) ou fazendo-se passar por uma fonte «fiável» (fornecedor, administrações, bancos, etc.).

A título de exemplo, em:

• oferecendo-lhe um reembolso do montante cobrado em excesso;
• alertando-o sobre um suposto «problema técnico de segurança»;
• solicitando uma «atualização dos seus dados de contacto».

Como evitar as armadilhas do phishing ao trabalhar a partir de casa?

No entanto, ao adotar os hábitos certos para evitar as armadilhas do phishing, o teletrabalho pode ser implementado sem riscos. Para tal, o utilizador deve respeitar vários princípios fundamentais, bem conhecidos por qualquer responsável de TI experiente:

• Separar os usos profissionais dos usos pessoais, nomeadamente o correio eletrónico profissional do correio eletrónico pessoal;
• Desconfie de e-mails surpreendentes, inesperados, que causam ansiedade, urgentes…
• Evite basear-se apenas no endereço de e-mail do remetente: em caso de dúvida, contacte pessoalmente, por telefone, o remetente em questão;
• Não clique nos links presentes neste tipo de e-mails;
• Evite abrir os anexos sem ter confirmado pessoalmente com o remetente que se trata, de facto, de ficheiros fiáveis;
• Verifique o URL dos links passando o cursor por cima deles, mas sem clicar neles;
• Manter a curiosidade ao realizar as suas próprias investigações;
• Nunca forneça dados que um remetente não deva solicitar ao utilizador;
• Alterar as palavras-passe dos serviços de e-mail (e outras contas) assim que se suspeitar de ter sido alvo de um ataque informático;
• Utilize uma palavra-passe diferente para cada conta;
• Não se ligue a uma rede Wi-Fi pública, que raramente é segura;
• Utilizar uma rede Wi-Fi segura;
• Não faça no teletrabalho o que não faria no escritório.

Garantir a segurança do teletrabalho para os responsáveis de TI

Defina e divulgue um regulamento de segurança informática que inclua as seguintes recomendações relativas à gestão do correio eletrónico:

• Proíba o envio de e-mails profissionais através do serviço de e-mail pessoal e vice-versa;
• Sensibilize os seus utilizadores para a cibersegurança e, mais especificamente, para as boas práticas a adotar no uso do seu correio eletrónico. Com efeito, as proteções técnicas, por si só, nunca são 100% eficazes se os utilizadores não adotarem os hábitos corretos em matéria de cibersegurança;