Funcionários da Seagate enfrentam possível fraude de imposto em recente ataque de phishing

Em uma declaração do porta-voz da Seagate, Eric DeRitis para Brian Krebs da krebsonsecurity, foi confirmado que a empresa Seagate, fabricante de dispositivos de armazenamento, foi alvo de um ataque de phishing que permitiu que os agressores roubassem informações de imposto de renda de funcionários. O ataque veio na forma de um típico golpe de phishing: um funcionário da Seagate recebeu o que parecia ser um email do CEO da Seagate, Stephen Luczo, solicitando dados do W-2 de 2015 de funcionários antigos e atuais da empresa. A solicitação parecia legítima e resultou no roubo de dados pessoais de milhares de funcionários.

A Seagate foi a mais recente empresa a cair em um ataque de phishing de grande impacto. Menos de uma semana atrás, funcionários do Snapchat, aplicativo de compartilhamento de fotos e vídeos, também foram vítimas de um golpe semelhante. Há alguns dias, Mansueto Ventures, editora das revistas Inc e Fast Company, também caiu no mesmo golpe, causando a exposição de informações de funcionários, que incluíam salário e números de seguro social.

A época de impostos dos EUA e de outros países começou e é normal para as grandes empresas que os cibercriminosos usem esses esquemas para atacar não apenas indivíduos, mas também as empresas. De acordo com Krebs, os dados W-2, que foram roubados no incidente da Seagate, contêm virtualmente todas as informações necessárias para realizar fraude de restituição de impostos. Só no ano passado, informações W-2 de mais de 300.000 vítimas foram roubadas com sucesso do site Internal Revenue Services (IRS).

Com esses tipos de ataques de phishing e a prevalência de golpes de Comprometimento de Email Empresarial (BEC), as empresas devem ser mais conscientes ao tratar a segurança mais como prevenção ao invés de cura (isto é, depois que o incidente de segurança acontece).

A gigante do armazenamento já notificou os funcionários afetados sobre o incidente e concedeu serviços de monitoramento de crédito. Porém, o maior problema continua: um ataque como esse continuará a atingir funcionários e indivíduos desprevenidos.

Uma mentalidade de segurança mais profunda deve ser forjada, para que o conhecimento das atrações da engenharia social e suas repercussões para indivíduos e empresas seja fortalecido. A conscientização dos funcionários sobre práticas e medidas envolvendo várias táticas de ataque usadas para aplicar golpes em indivíduos ou, nesse caso, funcionários, deve ser implementada. Os esquemas BEC, como os vistos em recentes eventos, continuam a flagelar empresas, com técnicas antigas que transformam os funcionários em cúmplices fáceis. Um diálogo com os funcionários para que verifiquem suas mensagens de email e suas fontes deve ser intensificado.