Exemplo:
Imaginemos que fazemos parte dos departamentos de Administração, RH ou Finanças e recebemos um pedido de um suposto empregado ou do seu superior hierárquico para alterar o número da conta pessoal em que recebe o seu salário.
Um pedido que podemos entender como normal ou mesmo inofensivo, pode causar sérios danos a nível do trabalho se não seguirmos os procedimentos e não fizermos uma verificação correcta.
Situação atual:
De acordo com estudos recentes, embora este ciberataque ainda não seja um dos mais comuns, afectou cerca de 70% das empresas e entidades nos últimos 12 meses. Isto independentemente do seu sector de atividade ou do facto de serem públicas ou privadas.
O que é que isso implica?
Consiste, mais uma vez, em fazer-se passar por uma pessoa da nossa empresa. O pedido pode ser recebido por vários meios (correio eletrónico, mensagem de texto, telefone, etc.). E não são apenas os funcionários que recebem o pedido, mas o cibercriminoso também pode esperar que o pedido seja encaminhado internamente para o departamento competente.
Em caso de sucesso, os trabalhadores cuja identidade foi suplantada deixarão de receber, de um mês para o outro, o seu salário. Porque terá sido desviado para a conta de um cibercriminoso.
Como é que podemos evitar isto?
Aplicando a lógica comum: vamos analisar a petição.
- Se os procedimentos internos indicarem que deve candidatar-se por correio ou através de uma plataforma específica, não confie em chamadas ou mensagens de texto ou de voz que possa receber, sem ter a certeza de que não se trata de uma burla.
- Mesmo que o pedido tenha sido efectuado através dos meios de comunicação apropriados, façamos uma segunda verificação telefonando à pessoa que está a pedir a alteração. Isto permitir-nos-á verificar se se trata de uma fraude ou de um pedido real. É muito importante que não tentemos fazer esta verificação respondendo à mesma mensagem ou utilizando os dados de contacto indicados na mensagem, porque poderíamos alertar o cibercriminoso para a nossa suspeita e isso seria pior.
- Se for necessária uma dupla aprovação ou um controlo interno para as transferências, não altere os dados de pagamento nem efectue essas transacções de forma ligeira. Por mais banais que possam ser entendidos. Nestes casos, o ideal é pedir um comprovativo de titularidade da conta bancária, para provar a legitimidade da alteração.
RECORDAMOS-LHE MAIS UMA VEZ: Se pensa ter sido vítima deste tipo de ciberataque, comunique-o ao departamento de TI, ao CISO ou ao DPO do local de trabalho e comunique-o à polícia .