Brand Abuse, Data Leakage

Executivos podem ser vítimas de falsidade ideológica on-line

Por André Luiz R. Silva em
COMPARTILHAR

Imagine a seguinte situação: você precisa enviar algumas informações importantes ao seu chefe e recebe um e-mail ou mensagem nas redes sociais dele próprio, cobrando por esses dados. Mas, na verdade, era tudo uma apropriação da identidade que acabou colocando você (ou até mesmo clientes) em um golpe, fazendo com que dados sensíveis fossem roubados. Infelizmente, isso não é ficção e acontece de verdade!

 

O que seria uma falsidade ideológica on-line?


A falsidade ideológica é aquele tipo de crime que acontece quando uma pessoa se apropria da identidade de alguém para, depois, enganar e gerar prejuízos a outra pessoa – e o principal deles seria o financeiro, claro.

Só que os problemas não param por aí: quando um executivo tem sua identidade roubada, tanto ele quanto sua empresa viram alvos dos criminosos. E, num mundo de infinitas possibilidades como é o on-line, neste exato momento alguém pode estar tendo uma ideia de se passar por um executivo para poder aplicar golpes. Afinal, criar perfis em redes sociais e contas de e-mail são coisas simples e gratuitas.

 

De que formas um executivo pode ser atingido?


Existem dois grandes problemas que afetam um executivo: o uso de sua imagem e também vazamentos de seus dados e informações sensíveis. De maneira geral, essas duas são as raízes de problemas que podem levar a outras situações críticas, como vazamentos de dados da empresa ou práticas estelionatárias que afetem clientes.


Perfis falsos

Um perfil falso de executivo (que pode ser no Instagram, Facebook, Linkedin ou em tantas outras redes sociais) pode até não conter nenhuma imagem de sua marca ou empresa, abstendo-se a fotos e/ou nome do alvo. Mas é importante notar que, mesmo que um cliente veja que não existe menção óbvia à marca no perfil, ele pode ser enganado ao pesquisar mais informações sobre a pessoa e, aí, fazer conexão com a empresa.

Endereços de e-mail falsos

Usar e-mails falsos é algo geralmente direcionado a funcionários. Em geral, os e-mails falsos pedem dados, documentos importantes ou até transferências bancárias, e são enviados com a utilização de typosquatting, um tipo de uso de marca no domínio que faz uma leve mudança de caractere. Assim, um e-mail que originalmente seria “executivo@suamarca.com” viraria “executivo@suamarc4.com”, podendo passar despercebido por muitas pessoas.

Por já estar se tornando tão comum, essa prática no e-mail foi batizada de CEO Fraud. E os cibercriminosos realmente fazem o tema de casa: pesquisam todas as informações possíveis sobre o executivo para não serem identificados. Ao mesmo tempo, sabem brincar com fatores psicológicos pois todos os funcionários levam muito a sério qualquer e-mail vindo do CEO ou presidente. Em alguns casos, são levantadas até mesmo informações sobre a vítima, para poder seduzi-la ainda mais.

Vazamentos de dados

Os executivos podem também ser vítimas on-line de outra forma: tendo seus dados vazados! O que acontece é que, muitas vezes, alguns dados podem ser roubados e expostos na internet (nos mais variados locais, seja na web superficial, seja na deep e dark web) e, logo depois, utilizados ou armazenados por quem tem segundas intenções.

Nesses casos, o criminoso pode pegar até mesmo as verdadeiras credenciais (login e senha) de um executivo – o que permitiria a coleta de todas as informações a que ele tem acesso. Ou, em um cenário ainda mais preocupante: se a mesma senha é usada pelo executivo em uma rede social e também no sistema da empresa, o fraudador pode facilmente testar a mesma senha nos dois locais.

 

Como evitar?


A principal dica é, sempre, conscientização! Faça palestras, envie e-mails, converse no corredor… Informação sobre segurança é fundamental em um momento em que a digitalização atinge cada vez mais pessoas. E o mesmo vale para os clientes! Instrua todo mundo a desconfiar sempre e proteger seus dados ao máximo.

Mas, como nem tudo é perfeito, alguma coisinha sempre pode acontecer: por isso, recomendamos que você tenha à mão uma boa ferramenta de monitoramento. Aqui na Axur, identificamos milhares de URLs diariamente – e também a deep e dark web – com uma mãozinha de nossos robôs.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz R. Silva

Jornalista formado pela UFRGS e Content Creator da Axur, responsável pelo Deep Space e por atividades de imprensa. Também já analisei dados e fraudes na equipe de Brand Protection aqui na Axur. Mas, em resumo: meu brilho nos olhos é trabalhar com tecnologia, informação e conhecimento juntos!