A defesa dos funcionários é um conceito que existe há mais de uma década. Mas o que começou como uma forma bem-intencionada de fortalecer a imagem corporativa, a liderança de pensamento e o marketing também pode trazer consequências não intencionais. Quando profissionais publicam sobre seu trabalho, sua empresa e sua função, eles esperam se conectar com pessoas com interesses semelhantes, além de alcançar clientes e parceiros em potencial. O problema é que os cibercriminosos também estão atentos.

Quando essas informações são de domínio público, muitas vezes são usadas para ajudar a criar ataques convincentes de spearphishing ou de comprometimento de e-mail comercial (BEC). Quanto mais informações, mais oportunidades para atividades criminosas que podem acabar atingindo sua empresa em cheio.

Onde seus funcionários estão compartilhando?

As principais plataformas para o compartilhamento dessas informações são as suspeitas de sempre. O LinkedIn talvez seja a mais óbvia. Ele poderia ser descrito como o maior banco de dados aberto de informações corporativas do mundo: um verdadeiro tesouro de títulos de cargos, funções, responsabilidades e relacionamentos internos. É também onde os recrutadores publicam anúncios de emprego, que podem compartilhar detalhes técnicos que podem ser aproveitados posteriormente em ataques de spearphishing.

O GitHub talvez seja mais conhecido, no contexto da cibersegurança, como um lugar onde desenvolvedores distraídos acabam publicando segredos embutidos no código, propriedade intelectual e dados de clientes. Mas eles também podem expor informações aparentemente inofensivas, como nomes de projetos, nomes de pipelines de CI/CD e detalhes sobre quais stacks de tecnologia e bibliotecas de código aberto estão usando.

Depois, há as redes sociais voltadas ao público em geral, como Instagram e X. É nelas que os funcionários tendem a compartilhar detalhes sobre planos de viagem para conferências e outros eventos, informações que podem ser exploradas contra eles e contra a organização. Até mesmo o que está publicado no site da empresa pode ser útil para um possível fraudador ou invasor: detalhes sobre plataformas técnicas, fornecedores e parceiros, ou anúncios corporativos relevantes, como movimentações de fusões e aquisições. Tudo isso pode servir de pretexto para campanhas de phishing mais sofisticadas.

Leia mais: Como o seu Linkedin pode ajudar criminosos a cometerem crimes

Montagem das informações

A primeira etapa de um ataque típico de engenharia social é a coleta de informações. A próxima é a utilização dessa inteligência como arma em um ataque de spearphishing projetado para induzir o destinatário a instalar inadvertidamente um malware em seu dispositivo. Ou, possivelmente, a compartilhar suas credenciais corporativas para o acesso inicial. Isso pode ser feito por meio de um e-mail, mensagem de texto ou até mesmo uma ligação telefônica. Como alternativa, eles podem usar as informações para se passar por um executivo ou fornecedor de nível C em um e-mail, telefone ou chamada de vídeo solicitando uma transferência bancária urgente.

Esses esforços geralmente exigem uma combinação de personificação, urgência e relevância. Aqui estão alguns exemplos hipotéticos:

  • Um cibercriminoso encontra no LinkedIn informações sobre alguém recém-contratado para uma função de TI na Empresa A, incluindo atribuições e responsabilidades. Ele se passa por um fornecedor importante de tecnologia e alega que é necessária uma atualização de segurança urgente, mencionando o nome, os dados de contato e a função do alvo para dar credibilidade ao golpe. O link de “atualização” é malicioso.
  • Cibercriminosos encontram no GitHub informações sobre dois colegas, incluindo o projeto em que estão trabalhando. Eles se passam por um deles em um e-mail e pedem que o outro revise um documento anexado que, na verdade, está infectado com malware.
  • Um golpista encontra um vídeo de um executivo no LinkedIn ou no site corporativo. Em seguida, vê no Instagram/X do alvo que ele fará uma apresentação em uma conferência e ficará fora do escritório. Sabendo que o executivo pode estar difícil de contatar, o criminoso realiza um ataque de BEC com deepfake (vídeo ou áudio) para enganar alguém da equipe financeira e induzir a transferência urgente de valores para um “novo fornecedor”.

Caso reais que chamam a atenção

Os exemplos acima são apenas hipotéticos. Mas existem muitos exemplos reais de cibercriminosos que usam técnicas de "inteligência de código aberto" (OSINT) nos estágios iniciais dos ataques. Eles incluem:

  • Um ataque de BEC que custou US$ 3,6 milhões ao Children's Healthcare of Atlanta (CHOA): Os cibercriminosos provavelmente vasculharam os comunicados à imprensa sobre um campus recém-anunciado para descobrir mais detalhes, incluindo o parceiro de construção do hospital. Em seguida, eles teriam usado o LinkedIn e/ou o site corporativo para identificar os principais executivos e membros da equipe financeira da empresa de construção envolvida (JE Dunn). Por fim, eles se fizeram passar pelo CFO em um e-mail para a equipe financeira da CHOA solicitando a atualização dos detalhes de pagamento para a JE Dunn.
  • Os grupos SEABORGIUM, baseado na Rússia, e TA453, alinhado ao Irã, usam OSINT para reconhecimento antes de ataques de spearphishing em alvos pré-selecionados. De acordo com o NCSC do Reino Unido, eles usam as redes sociais para "pesquisar os interesses [dos alvos] e identificar seus contatos sociais ou profissionais no mundo real".

Parar o compartilhamento? Como mitigar o risco de spearphishing

Os riscos do compartilhamento excessivo são reais, mas, felizmente, as soluções são simples. A arma mais potente em seu arsenal é a educação. Atualize os programas de conscientização sobre segurança para garantir que todos os funcionários, desde os executivos até os mais novos, entendam a importância de não compartilhar excessivamente nas redes sociais. Em alguns casos, isso exigirá um cuidadoso reequilíbrio de prioridades, evitando a todo custo o excesso de exposição na defesa dos funcionários. Oriente a equipe a evitar o compartilhamento por meio de mensagens diretas não solicitadas, mesmo que reconheçam o remetente, já que a conta pode ter sido comprometida. Além disso, garanta que todos saibam identificar tentativas de phishing, BEC e deepfakes.

Apoie isso com uma política rigorosa de uso de redes sociais, definindo limites sobre o que pode e o que não pode ser compartilhado e estabelecendo regras claras entre contas pessoais e profissionais/oficiais. Sites e perfis corporativos também podem precisar ser revisados e atualizados para remover qualquer informação que possa ser explorada por cibercriminosos.

A autenticação em duas etapas e as senhas fortes (armazenadas em um gerenciador de senhas) também devem ser uma constante em todas as contas de rede social, caso as contas profissionais sejam sequestradas para atingir colegas.

Por fim, sempre que possível, monitore contas acessíveis ao público em busca de informações que possam ser exploradas em ataques de spearphishing e BEC. Além disso, realize simulações de ataque com os funcionários para testar a conscientização e a prontidão deles.

Infelizmente, a IA está tornando mais rápido e fácil do que nunca para cibercriminosos traçarem o perfil de alvos, coletarem OSINT e, em seguida, criarem e-mails e mensagens convincentes, com linguagem natural praticamente perfeita. Deepfakes gerados com IA ampliam ainda mais esse leque de possibilidades. A conclusão é simples: se algo é de domínio público, é razoável supor que um criminoso também terá acesso a essa informação e pode usá-la mais cedo do que você imagina.