Os cibercriminosos estão criando novas maneiras de induzir funcionários de empresas a entrarem em sites de phishing com objetivo de roubar as credenciais de contas corporativas. As campanhas de spam anteriores usaram convites do SharePoint e mensagens de voz como base para o golpe, segundo informações da Kaspersky, uma das principais empresas especializadas em segurança do mundo. Por meio destas técnicas, hackers podem instalar malwares com diferentes funções, como minerar criptomoedas roubando poder computacional e até mesmo mudar endereços de destino em transações envolvendo Bitcoin e Ethereum.

Recentemente, segundo a empresa, foi descoberto um esquema de phishing no qual os cibercriminosos tentam imitar o processo de avaliação de desempenho da empresa-alvo. O ataque ocorre por duas vias: os destinatários acham que a avaliação (a) é obrigatória e (b) podem levar a um aumento salarial. Vale a pena notar que em algumas empresas essas avaliações fazem parte da rotina do processo de revisão salarial e é por isso que não levantam suspeitas. O funcionário recebe uma mensagem que parece ser da área de Recursos Humanos (RH) da empresa em que trabalha, indicando que trata-se de uma avaliação de desempenho. O texto da mensagem contém um link para um site com um “formulário de avaliação”, mas na verdade é um site falso que instala um malware no dispositivo.

Segundo as instruções, o usuário deve abrir o link, efetuar login, aguardar um e-mail com detalhes adicionais e selecionar uma das três opções. Para qualquer novato na empresa que não conhece o processo de avaliação, a sequência de etapas pode parecer convincente. Somente o endereço do site (que não está relacionado a nenhum recurso corporativo) poderia levantar suspeitas.

Se o funcionário abrir o link, ele verá uma página de login do “portal do RH”. Ao contrário de muitos recursos de phishing que parecem páginas de login para serviços de negócios, este parece bastante primitivo, com um fundo monocromático ou gradiente brilhante e campos de entrada de dados que cobrem a página. Por uma questão de autenticidade, os golpistas convidam o usuário a aceitar a política de privacidade (sem fornecer um link para esse documento). A vítima recebe uma solicitação para inserir seu nome de usuário, senha e endereço de e-mail. Em alguns casos, os golpistas os direcionam para inserir seu endereço comercial. Ao clicar no botão “Entrar” ou “Avaliação”, o funcionário na verdade encaminha os dados para os cibercriminosos.

Aqui vão algumas dicas para se prevenir contra este tipo de ataque e proteger seu computador e suas criptomoedas:

  • Nunca acesse e-mails sem antes confirmar a fonte. Se o e-mail parece vir da empresa onde trabalha, confirme antes com o departamento que seria o remetente do e-mail;
  • E-mails de promoção também levantam suspeitas, busque informações antes de abrir. Na dúvida não abra;
  • Tenha um antivírus instalado e um detector de malware.

Leia também: Raccoon Stealer: o novo malware programado para roubar seus Bitcoins