Spear Phishing A maior ameaça à segurança para contadores, profissionais da área tributária e empresas

Esta temporada de impostos não se concentra apenas na economia, mas também fique mais vigilante, pois você pode ser a próxima vítima do Spear Phishing. Os cibercriminosos estão se aproveitando de nosso foco na economia de impostos e de nossa esperança de obter algum dinheiro de volta do governo.

Os invasores enviam um e-mail aos funcionários, imitando de forma convincente o endereço de e-mail do CEO da empresa, pedindo-lhes que compartilhem o formulário W-2s dos funcionários. Isso dá aos invasores acesso aos dados pessoais dos funcionários, ajudando-os a registrar falsos retornos e obter reembolsos.

Se você mora no Reino Unido, pode ver ataques de phishing se passando por HM Revenue & Customs, prometendo reembolsos. Ao clicar em um link presente no e-mail, você será redirecionado a um site legítimo, perguntando seu nome, endereço, telefone, detalhes do cartão de crédito, nome de solteira da mãe e números de identidade. Assim, dando aos invasores acesso a todas as informações confidenciais, levando ao roubo de identidade completo.

Consulte também:  Gmail é a última vítima de ataques de phishing!

Iscas semelhantes foram relatadas na França, Austrália e América.

Muitas empresas e seus funcionários estão caindo nesse ataque de spear-phishing. Ele engana um funcionário do departamento de RH ou financeiro a enviar o formulário W-2s da empresa ao CEO ou gerente sênior, que pede o formulário explicando que é devido a alguma emergência financeira.

Formulário W-2s

O que é o formulário W-2s?

O formulário W-2s é um formulário de imposto federal dos Estados Unidos emitido por empregadores, informando quanto imposto um funcionário paga em um ano. Consiste no nome do funcionário, SSNs e outros dados confidenciais. Também é chamado de retorno informativo.

Apenas pessoal autorizado, departamento de RH ou financeiro tem acesso a esses dados.

O que é Spear Phishing?

Spear phishing é um ataque de falsificação de e-mail que visa organizações ou indivíduos específicos, em busca de acesso a informações confidenciais. Ele usa táticas inteligentes para chamar a atenção das vítimas, como: personificação, técnicas de desvio de controle de acesso.

Como funciona o Spear Phishing?

O spear phishing se concentra em indivíduos ou funcionários seletivos. Na maioria dos casos, os invasores não precisam trabalhar muito, como a maioria das empresas postam nome completo, cargo e endereço de e-mail de seus executivos, fica mais fácil acessar os dados. Assim, acabou sendo um tesouro para bandidos, para enviar e-mails de phishing e se passar por uma pessoa.

Consulte também:  Ameaças cibernéticas que vão se tornar uma tendência nos próximos anos!

Defesa contra Spear Phishing

Qualquer forma de phishing acaba levando ao comprometimento de dados confidenciais. Se ignorado, a empresa testemunhará violação de dados, roubo de identidade. Alguns incidentes notáveis ​​em que as empresas perderam milhões de dólares e devem comprometer os registros dos clientes são: JP Morgan, Home Depot e Target.

Os invasores não têm apenas como alvo as grandes empresas, mas também se concentram nas pequenas e médias empresas. As pequenas empresas têm menos infraestrutura de segurança devido ao menor número de funcionários, portanto, são facilmente direcionadas.

Como o e-mail é o meio de comunicação mais comum nas organizações, é importante protegê-lo contra prováveis ​​ataques de spear phishing. Os funcionários devem receber educação para combater as diferentes técnicas de phishing.

Eles devem saber como fazer a diferença entre um e-mail genuíno e um de phishing.

Aqui estão algumas dicas que podem proteger você e outras pessoas desse golpe:

1. A primeira e mais comum coisa a se notar em um e-mail suspeito é que haverá um texto incorreto, vocabulário estranho.

1. Deve haver uma rede de segurança forte para que ninguém possa contorná-la.
2. Se você receber um e-mail solicitando informações confidenciais, confirme primeiro entrando em contato com a pessoa que supostamente está solicitando as informações. Nunca tente entrar em contato com a pessoa através do número de telefone ou e-mail fornecido no e-mail suspeito. Em vez disso, verifique o mesmo com uma fonte confiável.
3. Você não compartilhar / enviar informações confidenciais por e-mail não encriptado.
4. Apresente sua declaração de impostos e não salve os dados em sua máquina.
5. Não salve nome de usuário ou senha em sistemas públicos / oficiais.
6. Finalmente, pense antes de clicar!