{"id":24017,"date":"2025-08-01T09:00:15","date_gmt":"2025-08-01T12:00:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24017"},"modified":"2025-08-04T09:20:22","modified_gmt":"2025-08-04T12:20:22","slug":"employee-handbook-phishing-scheme","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/employee-handbook-phishing-scheme\/24017\/","title":{"rendered":"Novo esquema de phishing atrai usu\u00e1rios com atualiza\u00e7\u00f5es falsas da pol\u00edtica de RH"},"content":{"rendered":"

J\u00e1 faz algum tempo que vemos golpistas tentando utilizar truques de phishing direcionado em grande escala<\/a>. Esse golpe normalmente se limita \u00e0 cria\u00e7\u00e3o de um e-mail um tanto mais sofisticado, que finge representar uma empresa espec\u00edfica, falsifica um remetente corporativo por meio de ghost spoofing<\/a> e cont\u00e9m uma mensagem personalizada, o que, na melhor das hip\u00f3teses, significa abordar a v\u00edtima pelo nome. No entanto, em mar\u00e7o deste ano, notamos algo muito intrigante com rela\u00e7\u00e3o a esse tipo de golpe. N\u00e3o era apenas o corpo do e-mail que estava personalizado, mas tamb\u00e9m o documento anexado. O esquema em si tamb\u00e9m era um pouco incomum: as v\u00edtimas eram induzidas a inserir suas credenciais de e-mail corporativo sob o pretexto de verificar altera\u00e7\u00f5es feitas na pol\u00edtica de RH.<\/p>\n

Uma solicita\u00e7\u00e3o falsa para revisar as novas diretrizes de RH<\/h2>\n

Veja como funciona. A v\u00edtima recebe um e-mail, aparentemente do RH, com uma sauda\u00e7\u00e3o personalizada com seu nome. O e-mail informa sobre altera\u00e7\u00f5es na pol\u00edtica de RH com rela\u00e7\u00e3o a protocolos de trabalho remoto, benef\u00edcios e padr\u00f5es de seguran\u00e7a. Altera\u00e7\u00f5es desse tipo s\u00e3o, naturalmente, do interesse de um funcion\u00e1rio. Portanto, ele clica no e-mail para acessar o documento anexado, que, ali\u00e1s, tamb\u00e9m traz o nome do destinat\u00e1rio no t\u00edtulo. Al\u00e9m disso, o e-mail tem um convincente banner informando que o remetente foi verificado<\/a> e faz parte de uma lista de remetentes seguros. A experi\u00eancia indica que esse \u00e9 justamente o tipo de e-mail que merece uma an\u00e1lise mais detalhada.<\/p>\n

\"Um<\/a>

Uma mensagem de e-mail de phishing destinada a atrair v\u00edtimas com atualiza\u00e7\u00f5es falsas da pol\u00edtica de RH<\/p><\/div>\n

Para come\u00e7ar, o conte\u00fado do e-mail, incluindo o banner verde aparentemente confi\u00e1vel e a sauda\u00e7\u00e3o personalizada, \u00e9 uma imagem. Isso fica evidente ao tentar selecionar qualquer parte do texto com o mouse. Um remetente leg\u00edtimo nunca enviaria um e-mail assim, pois n\u00e3o \u00e9 nem um pouco pr\u00e1tico. Salvar e enviar imagens personalizadas para cada funcion\u00e1rio em um an\u00fancio de alcance t\u00e3o amplo daria um enorme trabalho para o RH. O \u00fanico motivo para incluir o texto em uma imagem \u00e9 evitar os filtros antispam ou antiphishing.<\/p>\n

H\u00e1 outras pistas mais sutis no e-mail que podem revelar que se trata de um golpe. Por exemplo, o nome e at\u00e9 mesmo o formato do documento anexado n\u00e3o correspondem ao que \u00e9 mencionado no corpo do e-mail. Mas em compara\u00e7\u00e3o com o e-mail \u201cpitoresco\u201d, esses s\u00e3o detalhes menores.<\/p>\n

Um anexo que imita as diretrizes de RH<\/h2>\n

\u00c9 \u00f3bvio que o documento anexado n\u00e3o cont\u00e9m nenhuma diretriz real de RH. Ele cont\u00e9m uma p\u00e1gina de t\u00edtulo com o logotipo de uma pequena empresa e um cabe\u00e7alho destacado que diz \u201cManual do funcion\u00e1rio\u201d. O documento tamb\u00e9m apresenta um \u00edndice com os itens em vermelho (as altera\u00e7\u00f5es na pol\u00edtica de RH), seguido por uma p\u00e1gina com um c\u00f3digo QR para acessar o documento completo. Por fim, h\u00e1 uma instru\u00e7\u00e3o bem simples sobre como escanear c\u00f3digos QR com o celular. O c\u00f3digo, claro, direciona para uma p\u00e1gina onde o usu\u00e1rio \u00e9 convidado a inserir suas credenciais corporativas, que \u00e9 exatamente o que os golpistas buscam.<\/p>\n

\"Um<\/a>

O documento que os golpistas utilizam como isca<\/p><\/div>\n

O documento est\u00e1 repleto de frases que buscam convencer a v\u00edtima de que ele foi feito especificamente para ela. Seu nome aparece at\u00e9 duas vezes: primeiro na sauda\u00e7\u00e3o e depois na frase \u201cEste documento \u00e9 destinado \u00e0\/ao\u2026\u201d, que vem antes da instru\u00e7\u00e3o. Ah, e sim, o nome do arquivo tamb\u00e9m inclui o nome da v\u00edtima. Mas a primeira pergunta que deve ser feita \u00e9: qual \u00e9 o objetivo do documento?<\/p>\n

Na pr\u00e1tica, todas essas informa\u00e7\u00f5es poderiam ter sido apresentadas direto no e-mail, sem a necessidade de se criar um arquivo personalizado de quatro p\u00e1ginas. Por que um funcion\u00e1rio do RH se daria ao trabalho de criar esses documentos aparentemente in\u00fateis para cada funcion\u00e1rio da empresa? Sendo sinceros, a princ\u00edpio duvidamos que os golpistas fossem se dar ao trabalho de criar um golpe t\u00e3o elaborado. Mas nossas ferramentas confirmam que todos os e-mails de phishing desse tipo de golpe cont\u00eam anexos diferentes, cada um com o nome exclusivo do destinat\u00e1rio. \u00c9 prov\u00e1vel que isso se trate do trabalho de um novo mecanismo de mensagem automatizado que gera um documento e uma imagem de e-mail para cada destinat\u00e1rio. Ou talvez se trate apenas de alguns golpistas muito dedicados.<\/p>\n

Como manter a seguran\u00e7a<\/h2>\n

A solu\u00e7\u00e3o de seguran\u00e7a especializada<\/a> consegue bloquear a maioria dos e-mails de phishing no servidor de e-mail corporativo. Al\u00e9m disso, todos os dispositivos utilizados pelos funcion\u00e1rios da empresa para trabalhar, incluindo celulares, tamb\u00e9m devem ser protegidos<\/a>.<\/p>\n

Tamb\u00e9m recomendamos educar os funcion\u00e1rios sobre as t\u00e1ticas modernas de fraude, compartilhando recursos do nosso blog, por exemplo, al\u00e9m de sempre aumentar a conscientiza\u00e7\u00e3o deles sobre seguran\u00e7a cibern\u00e9tica. Isso pode ser feito em plataformas como a Kaspersky Automated Security Awareness<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Um caso curioso de t\u00e9cnicas de e-mail de phishing direcionado empregadas em grande escala.<\/p>\n","protected":false},"author":2598,"featured_media":24018,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1125,221,3364,3082],"class_list":{"0":"post-24017","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-phishing","12":"tag-phishing-direcionado","13":"tag-sinais-de-phishing"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/employee-handbook-phishing-scheme\/24017\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/employee-handbook-phishing-scheme\/29164\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/24357\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/12596\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/employee-handbook-phishing-scheme\/29201\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/28334\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/employee-handbook-phishing-scheme\/31169\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/employee-handbook-phishing-scheme\/29847\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/employee-handbook-phishing-scheme\/40117\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/employee-handbook-phishing-scheme\/13584\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/53836\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/employee-handbook-phishing-scheme\/22988\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/employee-handbook-phishing-scheme\/32458\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/employee-handbook-phishing-scheme\/29399\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/employee-handbook-phishing-scheme\/35134\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/employee-handbook-phishing-scheme\/34774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/sinais-de-phishing\/","name":"Sinais de phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24017"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24017\/revisions"}],"predecessor-version":[{"id":24030,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24017\/revisions\/24030"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24018"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}