Plataformas de recolha de dados das empresas são foco de cibercriminosos

Os cibercriminosos encontraram nos os formulários de registo, subscrição ou comentários em websites fragilidades que lhes permitem conseguir introduzir conteúdos de spam ou hiperligações de phishing nos emails de confirmação enviados através de empresas conhecidas e de confiança.

Os cibercriminosos estão permanentemente em busca de novos métodos para enviar mensagens de spam e phishing sem serem apanhados pelos filtros de conteúdos que já existem. Tentam, por isso, que os emails que enviam sejam de fonte credível, com uma reputação que não deixe imaginar sequer existência de fragilidades dos sistemas informáticos. Está em causa não só a insegurança informática das pessoas, como atinge a reputação e imagem das empresas. Tendo em conta que estes atos criminosos, são enviados no seu nome, comprometendo a segurança da empresa e a quebra de compromisso na guarda dos dados pessoais dos seus clientes. 

Tendo em conta o valor que os dados das pessoas têm hoje para as empresas, deixa muitas questões no ar. Nomeadamente a falta de investimento das empresas, em sistemas que atuem preventivamente perante as fragilidades de segurança nas plataformas de recolha de dados. A importância da recolha de dados através de consentimento dos clientes é hoje vital para qualquer empresa, receber comentários por parte destes com a intenção de melhorar a qualidade do serviço que lhes é prestado, por exemplo, leva as empresas a solicitar aos seus clientes que criem uma conta pessoal, que subscrevam uma newsletter ou que comuniquem através de formulários realizados via do website da empresa, para enviar perguntas ou deixar sugestões. É aqui que os cibercriminosos tem colocado o seu foco nos últimos tempos. 

Os sistemas de recolha de dados requerem que os clientes insiram o seu nome e email para poderem receber uma mensagem de confirmação ou uma respostas as suas questões. Segundo alguns investigadores da Kaspersky, os cibercriminosos incorporam conteúdos de spam e hiperligações de phishing a estes emails. Adicionam simplesmente o email da vítima no formulário de registo ou de subscrição e escrevem a mensagem no lugar do nome. Seguidamente, o próprio website envia uma mensagem modificada de confirmação para o email que foi dado, que vai ter um anúncio ou hiperligação de phishing no início do texto, em vez do nome do destinatário. 

María Vergelis, Especialista em Segurança na Kaspersky, comenta: “A maioria destas mensagens modificadas estão ligadas a questionários online criados para obter dados pessoais. As notificações de uma fonte de confiança iludem, normalmente, com facilidade os filtros dos conteúdos já existentes, uma vez que são mensagens oficiais enviadas por uma empresa de confiança. Esta é a razão pela qual este novo método de email não desejado, aparentemente inocente, é tão eficaz e preocupante.” 

Para evitar que as empresas sofram de possíveis perdas de reputação, a Kaspersky aconselha as seguintes medidas:

  • Verificar o funcionamento dos formulários de comentários disponíveis no website;
  • Introduzir várias regras de verificação que gerem um erro, no caso de se tentar registar um nome com símbolos inapropriados;
  • Realizar uma análise de vulnerabilidades ao website, nos casos em que a mesma é possível.




Deixe um comentário

O seu email não será publicado