Menos Fios

O que não se deve manter na caixa de entrada de E-mail

Se alguém tiver acesso à sua caixa de entrada, uma possível consequência é um ataque de comprometimento de e-mail corporativo (BEC, na sigla em inglês), caso em que os seus e-mails podem contribuir muito para o sucesso. Obviamente, o software de segurança ajuda a deixar os ventos a seu favor, mas qualquer um pode cair no phishing, por isso é importante minimizar o dano potencial e remover todas as mensagens que não gostaria que caíssem nas mãos de outra pessoa – só para garantir. Abaixo está o que não se deve manter.

Os dados pessoais de outras pessoas, como currículos, documentos de inscrição em vagas e de admissão e assim por diante, também podem ser encontrados na sua caixa de entrada. Quando as pessoas dão permissão à sua empresa para armazenar e processar os seus dados pessoais, elas esperam que você mantenha essas informações seguras e protegidas.

A maioria dos serviços de hoje em dia evita o envio de senhas temporárias, em vez de fornecer links exclusivos para uma interface de alteração de senha. Afinal, enviar senhas por e-mail não criptografado é uma péssima ideia. Mas algumas empresas ainda enviam senhas por e-mail, e a prática é um pouco mais comum com serviços e recursos internos. Além disso, às vezes os funcionários enviam a si próprios senhas, logins e as suas respostas a perguntas secretas.

Esses e-mails são exactamente o que os invasores estão a procura: com acesso a recursos corporactivos, eles podem obter informações extras para manipulações de engenharia social e desenvolver ataques.

Recebemos todos os tipos de notificações de serviços online: confirmações de registro, links de redefinição de senha, notificações de actualização de política de privacidade. Os e-mails em si não interessam a ninguém, mas mostram os serviços que usuário assina. Os invasores provavelmente terão scripts prontos para automatizar a sua pesquisa por essas notificações.

Na maioria dos casos, a sua caixa de entrada é a chave mestra para todos esses serviços. Sabendo quais usuário usa, os invasores podem solicitar uma alteração de senha e entrar pela sua caixa de entrada.

Os usuários corporativos (especialmente aqueles de pequenas empresas) geralmente são tentados a usar as suas caixas de entrada como uma espécie de armazenamento de arquivos em nuvem, especialmente se o scanner do escritório entrega digitalizações por e-mail. Cópias de passaportes, identidades de contribuintes e outros documentos são frequentemente exigidas para a papelada de rotina ou viagens de negócios.

Recomenda-se excluir imediatamente todas as mensagens que contenham informações pessoais. Baixe os documentos e mantenha-os em um armazenamento criptografado.

MAIS: Cerca de um terço dos sites ainda não utilizam HTTPS por padrão

Para muitos funcionários, a troca de documentos é parte integrante do fluxo de trabalho de negócios. Dito isso, alguns documentos podem ser valiosos não apenas para os seus colegas, mas também para os invasores.

Tomemos, por exemplo, um relatório financeiro. Provavelmente encontrado na caixa de entrada do tesoreiro, um relatório financeiro fornece uma riqueza de informações poderosas – e um ponto de partida ideal para ataques BEC. Em vez de enviar emails fraudulentos a colegas, por exemplo, os cibercriminosos com essas informações podem usar directamente informações reais sobre contratados, contas e somas de transações específicas para criar linhas de assunto atraentes. Eles também podem obter informações úteis sobre o contexto de negócios da empresa, parceiros e contratados para atacá-los. Em alguns casos, o estudo cuidadoso de um relatório financeiro também pode representar uma oportunidade para a manipulação da bolsa de valores.

Portanto, é importante excluir as informações confidenciais no recebimento e nunca trocá-las sem criptografia.

Como se proteger contra o comprometimento da caixa de entrada

Recomenda-se excluir qualquer informação que possa ser do interesse dos invasores – não apenas da sua caixa de entrada, mas também das pastas Enviados e Lixeira. Se o seu negócio exige que você envie informações comercialmente confidenciais por e-mail, use a criptografia, que a maioria dos serviços de e-mail dispõem desta barreira de segurança para as contas comerciais.

Além disso, recomenda-se o uso de autenticação de dois factores sempre que possível. Se você fizer isso, mesmo que um invasor comprometa a sua caixa de entrada, as suas outras contas não acabarão nas mãos deles.

Armazene senhas e documentos digitalizados em aplicativos especializados, como Gerenciador de Senhas.

Exit mobile version