Recebeu um mail do departamento de Recursos Humanos? Tenha cuidado, pode ser phishing

A Kaspersky descobriu uma campanha de phishing por email dirigida aos colaboradores das empresas através de uma falsa mensagem do departamento de Recursos Humanos, que solicita uma autoavaliação dos colaboradores. O objectivo é roubar informações confidenciais.

As grandes empresas pedem aos seus colaboradores avaliações de desempenho, normalmente uma vez por ano, mas muitos deles querem comunicar mais frequentemente com a direcção, algo que é explorado pelos cibercriminosos.

Em qualquer altura do ano, os burlões enviam mensagens de email falsas convidando os colaboradores a participar numa avaliação obrigatória. As mensagens são concebidas de forma convincente e aparentemente provêm do departamento de Recursos Humanos. Apresentam um formulário de autoavaliação que permite aos trabalhadores interagir com os seus superiores, mas há pormenores que levantam suspeitas.

Por exemplo, o endereço electrónico do remetente nunca corresponde ao da empresa e o formulário é pedido para ser preenchido antes do fim do dia. Estes são aspectos deste tipo de burla que devem alertar para a necessidade de vigilância.

As perguntas são, em princípio, neutras, inócuas, mas as três últimas pedem o endereço de correio electrónico, a password e a confirmação da mesma. Estas informações muito sensíveis são solicitadas no final do texto com a intenção de apanhar a vítima desprevenida.

Para se proteger contra ataques de phishing e violações de dados, os especialistas da Kaspersky recomendam:

Tenha cuidado com as mensagens de fontes desconhecidas. Os ataques de phishing provêm frequentemente de remetentes estranhos. Nunca clique nas hiperligações recebidas nessas mensagens de correio electrónico e nunca forneça dados pessoais.

Use credenciais seguras e únicas para cada caso e evite utilizar a mesma palavra-passe para várias contas. Considere a utilização de gestores de palavras-passe que gerem e geram credenciais complexas e seguras.

Verifique sempre que os links são legítimos antes de clicar neles. Os cibercriminosos criam sites falsos que procuram ser idênticos aos originais. Por isso, é importante verificar cuidadosamente o URL para ver se é legítimo antes de fornecer qualquer informação.

Active a autenticação de duplo factor sempre que seja possível. Isto acrescenta uma camada extra de segurança e bloqueia o acesso não autorizado.