A Kaspersky descobriu um novo
esquema que visa o setor hoteleiro, expondo os
proprietários e os colaboradores de hotéis a tentativas de roubo credenciais e
malware. Os cibercriminosos enviam e-mails falsos e maliciosos, em nome de
antigos ou potenciais hóspedes, como forma de explorar o serviço de apoio ao
cliente e executar ataques de phishing.
As mensagens de e-mail falsas
são enviadas para os endereços públicos do hotel e imitam os pedidos de
informação ou as queixas legítimas dos hóspedes. Por vezes, também aparecem
como pedidos e comentários urgentes na plataforma do Booking por resolver. No
entanto, os e-mails são enviados pelos autores destes ataques que pretendem
enganar o hotel e fazer com que divulguem credenciais ou descarreguem malware
para os dispositivos.
Os cibercriminosos tiram partido do serviço
de apoio ao cliente e enviam mensagens com motivos plausíveis, fazendo-se
passar por clientes com pedidos ou reclamações genuínas. Tendo em conta a
importância de dar resposta a este tipo de mensagens, a tendência é responder
prontamente. A ansiedade associada à situação aumenta a probabilidade de aceder
a ligações maliciosas ou de abrir algum anexo que contenha malware. Os
atacantes utilizam serviços de e-mail gratuitos como o gmail, que são
normalmente utilizados pelos hóspedes, para enviar estas mensagens. Este
panorama dificulta o trabalho dos colaboradores em distinguir as mensagens
legítimas das mensagens maliciosas.
Na maioria dos casos, estas mensagens
fraudulentas dividem-se em duas categorias:
·
Queixas de antigos hóspedes: e-mails onde
descrevem experiências negativas, como colaboradores mal-educados ou quartos
sujos, por vezes acompanhadas de referências a fotografias ou vídeos. O
objetivo é levar os destinatários a clicar em ligações ou a abrir anexos maliciosos.
·
Pedidos de informação de potenciais
hóspedes: e-mails com perguntas sobre as comodidades, os preços ou
a disponibilidade do hotel. Também podem conter um pedido de ajuda para planear
uma viagem. Aparentemente, o objetivo do ataque é recolher credenciais para as
utilizar em futuros esquemas de ataque ou para as vender em fóruns da darknet.
“Os atacantes exploram frequentemente
os aspetos mais vulneráveis de uma empresa para atingir os seus objetivos. No
setor da hotelaria, aproveitam-se da dedicação das equipas de hotelaria, que se
esforçam por prestar um excelente serviço ao cliente. Ao imitarem os pedidos de
informação ou as queixas dos hóspedes, manipulam o seu empenho em resolver
rapidamente os problemas, aumentando assim a probabilidade de serem vítimas de
esquemas fraudulentos. Para se protegerem contra estes ataques, as empresas
devem implementar sistemas robustos de filtragem de e-mail, dar formação
regular aos colaboradores sobre as tentativas de phishing e estabelecer
protocolos para verificar a autenticidade de pedidos urgentes antes de dar
resposta”, afirma Anna Lazaricheva, Analista de Spam na
Kaspersky.
De acordo com o relatório anual de spam e phishing da
Kaspersky, o phishing e a
propagação de malware através do e-mail continuam a representar uma ciberameaça
significativa. No ano passado, o Antivírus de e-mail da Kaspersky bloqueou
135.980.457 anexos de email maliciosos, enquanto o sistema de Anti-Phishing
impediu 709.590.011 tentativas de aceder a ligações de phishing. Os e-mails de
phishing fazem-se passar por entidades de confiança e utilizam táticas
sofisticadas de engenharia social para enganar os destinatários e levá-los a
revelar informações sensíveis ou a aceder a ligações maliciosas.
Leia mais sobre esta campanha de ataques de phishing por e-mail no Kaspersky Daily.
Para manter os seus dados protegidos contra os ataques de phishing e potenciais
fugas de informação, os especialistas da Kaspersky recomendam:
- Disponibilize às suas equipas a formação base em cibersegurança através do cybersecurity hygiene training. Simule um ataque de phishing como forma de garantir que os seus colaboradores sabem distinguir os e-mails falsos dos restantes.
- Opte por soluções de proteção de servidores de email, com capacidades anti-phishing, para diminuir a possibilidade de infeção. O Kaspersky Security for Mail Server impede que os seus colaboradores sejam as próximas vítimas de esquemas de engenharia social.
- Escolha uma solução de proteção para endpoints e servidores de email com capacidades Anti-Phishing, como o Kaspersky Endpoint Security for Business, para diminuir a probabilidade de infeção através de um email malicioso.
- Proteja o serviço de cloud da Microsoft 365, caso utilize este serviço. O Kaspersky Security for Microsoft Office 365 tem um sistema anti-spam e anti-phishing dedicado, bem como proteção adicional para as aplicações SharePoint, Teams e OneDrive, de forma a assegurar comunicações empresariais seguras.
- Opte por soluções leves e fáceis de gerir, mas ainda assim eficazes, como o Kaspersky Small Office Security. Esta solução evita o bloqueio do acesso ao seu próprio computador devido a mensagens de e-mail de phishing ou anexos maliciosos.
- Encontre uma solução dedicada para pequenas e médias empresas, com uma gestão simples e funcionalidades de proteção comprovadas, como o Kaspersky Endpoint Security Cloud. A Proteção contra Ameaças de Ficheiros, a Proteção contra Ameaças de E-mail, a Proteção contra Ameaças de Rede e a Proteção contra Ameaças da Web do produto incluem tecnologias que protegem os utilizadores contra malware, phishing e outros tipos de ameaças.
Post A Comment:
0 comments: