O FBI e a CISA (de Cybersecurity and Infrastructure Security Agency) emitiram um alerta sobre uma vaga de ciberataques detetada em julho deste ano e que tem como alvos os trabalhadores remotos de empresas privadas. Os piratas estão a encetar ataques de vishing, ou voice phishing, onde realizam chamadas telefónicas para tentar enganar os utilizadores a dar-lhes as credenciais de acessos aos sistemas informáticos das empresas para as quais trabalham. Estes dados estão a ser coletados e depois revendidos no mercado negro para outros gangues.
A estratégia destes hackers passa por registar domínios semelhantes aos dos reais das empresas, mas com pequenas variações, como support-[nome da empresa], ticket-[nome da empresa], employee-[nome da empresa] ou [nome da empresa]-support, por exemplo. Estas páginas são depois desenhadas para se parecerem com as páginas de login na VPN da empresa e são capazes de capturar dados de sistemas de 2FA, de two-factor authentication, ou de OTP, de one-time passwords. A lista de contactos a efetuar é feita através de engenharia social, muitas vezes com a monitorização de perfis em redes sociais, ferramentas de recrutamento e marketing ou outro tipo de investigação aprofundada. Os piratas recolhem informações como nome, morada, número de telefone pessoal e profissional, cargo desempenhado e antiguidade no posto, para construir um perfil sólido da vítima.
Os hackers avançam depois para a utilização de números de telefone VoIP ou rastreamento de números de telefone de outros funcionários da empresa para efetuar as chamadas, fazendo-se passar por elementos das equipas de IT das corporações, utilizando o conhecimento que têm sobre os trabalhadores e a informação de identificação do funcionário, explica a ZDNet. A vítima é enganada para se dirigir à página falsa criada pelos piratas e inserir as suas credenciais, que acabam por ser capturadas pelos hackers.
O FBI e a CISA avançam com algumas dicas para as empresas:
– restringir o acesso às ligações VPN aos dispositivos autorizados ou usar mecanismos como verificações de hardware ou certificados instalados antes de permitir o acesso à VPN corporativa;
– restringir o acesso à VPN apenas às horas de funcionamento dos serviços;
– monitorizar a criação ou alteração de domínios;
– definir o processo de autenticação formal para as comunicações funcionário-funcionário feitas por telefone, com um segundo fator a ser enviado antes de informação sensível ser discutida;
– otimizar as mensagens de 2FA e OTP para reduzir confusão sobre as tentativas de autenticação dos trabalhadores;
E para os utilizadores:
– verificar os links em busca de variações ou gralhas, antes de inserir credenciais;
– desconfiar de chamadas, visitas presenciais ou emails não solicitados onde sejam pedidas credenciais;
– comunicar às autoridades o número que ligar a pedir dados, bem como o domínio que seja indicado na chamada;
– limitar a quantidade de informação profissional colocada online, nomeadamente nas redes sociais;
Com a perspetiva de os regimes de teletrabalho se prolongaram um pouco por todo o mundo, é especialmente importante colocar em prática estas recomendações.