Esta é a nova moda entre os ciber atacantes: convencer - ou melhor, subornar - funcionários a serem cúmplices em suas ações criminosas. Oferecem milhões caso a pessoa, com acesso interno, execute um ransomware bloqueando arquivos e permitindo que um resgate seja cobrado.
Solicitação de amizade com segundas intenções
De acordo com a empresa de segurança Abnormal Security, os funcionários escolhidos para serem cúmplices são encontrados por meio de perfis em redes sociais, principalmente no LinkedIn. Os cibercriminosos - que buscam uma amizade sincera e sem interesse - fazem uma análise de quem teria acesso aos servidores internos da empresa que está no alvo.
Quem nada sabe, nada teme
A conscientização tem o papel de alertar os usuários e ajudar na identificação das ameaças, padrões maliciosos e a avaliar comportamentos que representem implicações para si, para outros e à organização da qual faz parte.
Quando não estamos cientes dos riscos, uma proposta deste tipo é vista apenas sob o aspecto do benefício financeiro, atingindo principalmente colaboradores insatisfeitos . A conscientização não terá um papel de mudar a satisfação do colaborador, e sim, deixá-lo ciente de todas as implicações e responsabilidades perante aos seus atos.
Ainda que seja difícil prever como se dará a próxima tentativa de golpe, saber lidar com os desafios da atualidade e as suas implicações, tornará os usuários mais preparados para lidar com as mais diversas situações e os mais diferentes cenários.
Conscientizando os funcionários sobre as implicações legais
De acordo com o art. 154-A do Código Penal, invadir dispositivos, conectado ou não à internet, violar mecanismos de segurança com o fim de obter, adulterar ou destruir dados ou instalar vulnerabilidades para obter vantagem ilícita pode causar pena de detenção de três meses a um ano e multa.
Como o golpe de ransomware tem a extorsão como agravante, de acordo com o Art. 158, a pena para as pessoas que participam desses ataques é de quatro a dez anos de reclusão, e multa.
Conscientizando os usuários por meio de casos reais
Um exemplo famoso desse golpe foi aplicado - ou pelo menos tentaram aplicar - na Tesla, empresa automotiva e de armazenamento de energia norte-americana. Um funcionário recebeu uma proposta de 1 milhão de dólares para instalar um ransomware na rede de uma das fábricas da empresa do bilionário Elon Musk.
O trabalhador recusou a proposta - não esperava menos, até porque tem implicações legais - e informou a Tesla da ameaça, que prontamente alertou autoridades do FBI. O cibercriminoso foi preso acusado de conspiração por causar intencionalmente danos a um computador protegido.
Conscientize os usuários sobre a existência desse tipo de golpe e faça com que o funcionário do Musk seja a referência do que fazer caso recebam uma proposta indecente desse tipo e garanta que se sintam confortáveis e seguros para comunicar imediatamente ao seu supervisor ou à equipe de Segurança da Informação.
