Algumas profiss\u00f5es s\u00e3o simplesmente mais suscet\u00edveis a ciberataques do que outras, independentemente do tipo de neg\u00f3cio. Hoje, estamos nos concentrando nas ciberamea\u00e7as destinadas a profissionais que atuam na \u00e1rea de recursos humanos. A raz\u00e3o mais simples, mas longe de ser a \u00fanica, \u00e9 que os endere\u00e7os de e-mail dos funcion\u00e1rios de RH s\u00e3o f\u00e1ceis de encontrar porque s\u00e3o publicados em sites corporativos para fins de recrutamento.<\/p>\n
Nos recursos humanos, os funcion\u00e1rios ocupam uma posi\u00e7\u00e3o bastante incomum: eles recebem montanhas de e-mails de fora da empresa, mas tamb\u00e9m tendem a ter acesso a dados pessoais que a empresa n\u00e3o pode se dar ao luxo de vazar.<\/p>\n
Normalmente, os cibercriminosos invadem o per\u00edmetro de seguran\u00e7a corporativa enviando a um funcion\u00e1rio um e-mail contendo um anexo ou link malicioso. \u00c9 por isso que sempre aconselhamos a n\u00e3o abrir e-mails suspeitos com anexos ou clicar em links enviados por pessoas desconhecidas. Para um profissional de RH, esse conselho seria rid\u00edculo. A maioria dos e-mails externos que eles recebem provavelmente vem de desconhecidos e muitos incluem um anexo com um curr\u00edculo (e \u00e0s vezes um link para um portf\u00f3lio de trabalho). Ainda podemos imaginar que pelo menos metade desses e-mails e anexos parece suspeita.<\/p>\n
Al\u00e9m disso, portf\u00f3lios ou amostras de trabalhos anteriores \u00e0s vezes v\u00eam em formatos incomuns, como arquivos de programas CAD altamente especializados. A pr\u00f3pria natureza do trabalho exige que os funcion\u00e1rios de RH abram e revisem o conte\u00fado de tais arquivos. Mesmo que esque\u00e7amos por um momento que os cibercriminosos \u00e0s vezes disfar\u00e7am o verdadeiro prop\u00f3sito de um arquivo alterando a extens\u00e3o do arquivo (\u00e9 um arquivo CAD, fotos RAW, um DOC, um EXE?), nem todos esses programas s\u00e3o mantidos atualizados, e nem todos foram testados exaustivamente quanto a vulnerabilidades. Os especialistas costumam encontrar brechas de seguran\u00e7a que permitem a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digos, mesmo em softwares amplamente e regularmente analisados, como o Microsoft Office<\/a>.<\/p>\n As grandes empresas podem ter uma variedade de especialistas respons\u00e1veis pela comunica\u00e7\u00e3o com os candidatos \u00e0s vagas e, internamente, com os funcion\u00e1rios atuais, por\u00e9m \u00e9 mais prov\u00e1vel que as pequenas empresas tenham apenas um representante de RH para todas as situa\u00e7\u00f5es. Essa pessoa provavelmente tem acesso a todos os dados pessoais mantidos pela empresa.<\/p>\n No entanto, se voc\u00ea est\u00e1 procurando causar problemas, comprometer apenas a caixa de entrada do RH geralmente resolve. Os candidatos que enviam curr\u00edculos podem dar permiss\u00e3o expl\u00edcita ou t\u00e1cita a uma empresa para processar e armazenar seus dados pessoais, mas eles definitivamente n\u00e3o concordam em entreg\u00e1-los a estranhos. Os cibercriminosos podem aproveitar o acesso a essas informa\u00e7\u00f5es para chantagem.<\/p>\n E no t\u00f3pico de extors\u00e3o, tamb\u00e9m devemos considerar o ransomware<\/a>. Antes de privar o propriet\u00e1rio do acesso aos dados, os v\u00edrus mais recentes geralmente os roubam primeiro. Se esse tipo de malware chegar a um computador de RH, os ladr\u00f5es podem ganhar na \u201cloteria\u201d de dados pessoais.<\/p>\n Confiar em funcion\u00e1rios sem treinamento ou com pouca experi\u00eancia para cometer erros \u00e9 arriscado. O ataque de comprometimento de e-mail corporativo (BEC<\/a> sigla em ingl\u00eas), mais dif\u00edcil, por\u00e9m mais eficaz, \u00e9 agora protagonista. Estes tipos de ataque, muitas vezes, visam tomar o controle da caixa de entrada de um funcion\u00e1rio e convencer seus colegas a transferir fundos ou encaminhar informa\u00e7\u00f5es confidenciais. Para garantir o sucesso, os cibercriminosos precisam sequestrar a conta de e-mail de algu\u00e9m cujas instru\u00e7\u00f5es provavelmente ser\u00e3o seguidas \u2013 na maioria das vezes, um executivo. A fase ativa da opera\u00e7\u00e3o \u00e9 precedida pela longa e \u00e1rdua tarefa de encontrar um funcion\u00e1rio de alto escal\u00e3o adequado. E aqui, uma conta de e-mail do RH pode ser muito \u00fatil.<\/p>\n Se por um lado, conforme mencionado acima, \u00e9 mais f\u00e1cil fazer o RH abrir um e-mail ou link de phishing. Por outro lado, sabe-se tamb\u00e9m que os funcion\u00e1rios da empresa provavelmente confiar\u00e3o em um e-mail dos recursos humanos. O RH envia regularmente os curr\u00edculos dos candidatos aos chefes de departamento. Claro, o departamento tamb\u00e9m envia documentos internos para a empresa como um todo. Isso torna o sequestro de uma conta de e-mail desse setor, uma plataforma eficaz para lan\u00e7ar um ataque BE\u0421 e para movimenta\u00e7\u00e3o lateral em toda a rede corporativa.<\/p>\n Para minimizar a probabilidade de intrusos invadirem os computadores do departamento de RH, recomendamos seguir estas dicas:<\/p>\nAcesso a dados pessoais<\/h3>\n
Um ponto de apoio para ataques BEC mais convincentes<\/h3>\n
Como proteger computadores do departamento de RH<\/h2>\n
\n