Saiu de férias e configurou seu e-mail corporativo com respostas automáticas? Cuidado!
A criatividade dos cibercriminosos parece não ter fim. A cada dia nos deparamos com novas técnicas e estratégias que surpreendem até mesmo os especialistas em segurança da informação. Assim, é necessário ter muita atenção aos nossos comportamentos tecnológicos, principalmente quando lidamos com informações sensíveis, sejam elas pessoais ou profissionais.
Um dos comportamentos mais comuns nas organizações é a configuração de respostas automáticas de ausência no e-mail corporativo. Essa prática, que quase sempre é uma orientação dos superiores, tem como objetivo manter um bom relacionamento com parceiros e colaboradores por meio de respostas automatizadas que informam ao remetente a ausência de um ou mais funcionários. Essas respostas normalmente contêm informações como a duração da ausência, informações de contato da pessoa, nome e contato do substituto, além de informações sensíveis sobre projetos e metas. Por mais que isso possa parecer inofensivo, pode representar um considerável risco corporativo, visto que divulga informações importantes a pessoas não autorizadas, possibilitando ataques direcionados por meio da engenharia social.
Imagine o seguinte cenário: Roger ficará 15 dias de férias, então configurou uma resposta automática parecida com: “Olá, obrigado pelo contato. No momento estou de férias e não posso responder. Para informações sobre o projeto Tesseract, fale com Antônio ou Natália pelos respectivos e-mails e telefones…”. Além do mais, no final da mensagem, são incluídas informações do contato como telefone, link para redes sociais e outras informações. Parece exagero, mas essa resposta automática é um prato cheio para que cibercriminosos coloquem em prática algumas de suas estratégias, principalmente a engenharia social. Imagine agora que Antônio, o substituto de Roger, recebe um e-mail com as seguintes palavras: “Antônio, bom dia. Entrei em contato com Roger, mas ele está de férias e disse que você responderia pelo projeto Tesseract. Assim, peço que acesse o link abaixo e responda a uma rápida pesquisa sobre o cronograma do referido projeto”. Sim, os cibercriminosos podem usar informações de contato, nomes de colaboradores, informações sobre projetos, entre outras, para se passar por pessoas confiáveis e adquirir informações da organização ou dos funcionários.
“De fato, os cibercriminosos necessitam de poucas informações para serem convincentes a ponto de pessoas leigas por meio da engenharia social…”
De fato, os cibercriminosos necessitam de poucas informações para serem convincentes a ponto de enganar substitutos e pessoas leigas. Além do mais, quando um e-mail é validado como sendo um e-mail real, os criminosos podem inclui-lo em suas listas de spams (envio em massa de e-mails contendo propagandas), objetivando aplicar diversos tipos de golpes e/ou espalhar vírus e códigos maliciosos pela web.
Para prevenir problemas relacionados às respostas automáticas, tome os seguintes cuidados: a) determine quais pessoas realmente necessitam delas – nos aplicativos de e-mail, é possível elaborar listas de pessoas que receberão tais respostas; b) crie dois tipos de respostas automáticas: resumidas, para contatos pessoais, e detalhadas, para contatos profissionais – lembre-se de que, em ambos os casos, informações desnecessárias devem ser evitadas; c) caso o número de pessoas seja pequeno, avise-as por meio de mensagens ou ligações telefônicas; d) conscientize os funcionários dos perigos das respostas automatizadas. Quando se trata da segurança das informações, principalmente no âmbito corporativo, é necessário estar informado para evitar problemas. Para mais informações sobre golpes e ataques por meio da internet, recomenda-se a Cartilha de Segurança para Internet, de autoria do Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil (CERT.br).
Texto publicado originalmente no Jornal de Jales, coluna Fatecnologia, no dia 12/05/2019
