Conscientização

Proposta Indecente: Cibercriminosos oferecem milhões para funcionários participarem de ataques de ransomware

Imagine receber uma mensagem privada no LinkedIn com uma oferta de trabalho que vale milhões! Seria maravilhoso, se não fosse para aplicar um ataque de ransomware na sua própria empresa.

Isaque Costa

Isaque Costa

Esta é a nova moda entre os ciber atacantes: convencer - ou melhor, subornar - funcionários a serem cúmplices em suas ações criminosas. Oferecem milhões caso a pessoa, com acesso interno, execute um ransomware bloqueando arquivos e permitindo que um resgate seja cobrado.

Solicitação de amizade com segundas intenções

De acordo com a empresa de segurança Abnormal Security, os funcionários escolhidos para serem cúmplices são encontrados por meio de perfis em redes sociais, principalmente no LinkedIn. Os cibercriminosos - que buscam uma amizade sincera e sem interesse - fazem uma análise de quem teria acesso aos servidores internos da empresa que está no alvo. 

Quem nada sabe, nada teme

A conscientização tem o papel de alertar os usuários e ajudar na identificação das ameaças,  padrões maliciosos e a avaliar comportamentos que representem implicações para si, para outros e à organização da qual faz parte.

Quando não estamos cientes dos riscos, uma proposta deste tipo é vista apenas sob o aspecto do benefício financeiro, atingindo principalmente colaboradores insatisfeitos . A conscientização não terá um papel de mudar a satisfação do colaborador, e sim, deixá-lo ciente de todas as implicações e responsabilidades perante aos seus atos. 

Ainda que seja difícil prever como se dará a próxima tentativa de golpe, saber lidar com os desafios da atualidade e as suas implicações, tornará os usuários mais preparados para lidar com as mais diversas situações e os mais diferentes cenários.

Conscientizando os funcionários sobre as implicações legais

De acordo com o art. 154-A do Código Penal, invadir dispositivos, conectado ou não à internet, violar mecanismos de segurança com o fim de obter, adulterar ou destruir dados ou instalar vulnerabilidades para obter vantagem ilícita pode causar pena de detenção de três meses a um ano e multa.

Como o golpe de ransomware tem a extorsão como agravante, de acordo com o Art. 158, a pena para as pessoas que participam desses ataques é de quatro a dez anos de reclusão, e multa.

Conscientizando os usuários por meio de casos reais

Um exemplo famoso desse golpe foi aplicado - ou pelo menos tentaram aplicar - na Tesla, empresa automotiva e de armazenamento de energia norte-americana. Um funcionário recebeu uma proposta de 1 milhão de dólares para instalar um ransomware na rede de uma das fábricas da empresa do bilionário Elon Musk.

O trabalhador recusou a proposta - não esperava menos, até porque tem implicações legais - e informou a Tesla da ameaça, que prontamente alertou autoridades do FBI. O cibercriminoso foi preso acusado de conspiração por causar intencionalmente danos a um computador protegido.

Conscientize os usuários sobre a existência desse tipo de golpe e faça com que o funcionário do Musk seja a referência do que fazer caso recebam uma proposta indecente desse tipo e garanta que se sintam confortáveis e seguros para comunicar imediatamente ao seu supervisor ou à equipe de Segurança da Informação.

Últimos artigos

Semana da Segurança da Informação Eskive

Semana da Segurança da Informação Eskive

A importância das ações de impacto para engajar e conscientizar os usuários.

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD.

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD.

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD.

Como os profissionais de cibersegurança lidam com a pressão cotidiana

Como os profissionais de cibersegurança lidam com a pressão cotidiana

O alto volume de alertas de ameaças afeta o desempenho e a saúde mental de equipes de segurança cibernética