Um empresário do Espírito Santo, que preferiu manter sua identidade anônima, tornou público na tarde do dia 4 de outubro, um incidente de tentativa de golpe virtual envolvendo um órgão público. O encarregado de dados da Fecontesc, Damião Oliveira, da Somaxi Group, enviou mais informações e faz o alerta sobre os cuidados que os profissionais contábeis devem ter nestes casos.
O golpe foi executado por meio de um e-mail, no qual foi solicitado que ele acessasse um link para visualizar supostos autos de notificação. O empresário, confiando na autenticidade do documento, uma vez que este foi enviado por seu contador de confiança, abriu o link sem questionar sua veracidade. Esta tática de engano parece ser uma nova estratégia adotada por criminosos, que enviam e-mails fraudulentos para os contadores, que, por sua vez, os repassam aos seus clientes, aumentando a credibilidade aparente do golpe.
Após o incidente, o empresário entrou em contato com o Procon Municipal para verificar a origem do e-mail. Foi então que ele foi informado de que se tratava de uma tentativa de golpe virtual. As autoridades aconselharam o empresário a tomar medidas adicionais para garantir sua segurança financeira e proteger sua empresa.
As consequências precisas do acesso ao link falso de notificações ainda não são conhecidas, mas o empresário planeja tomar medidas legais adicionais, incluindo a apresentação de um boletim de ocorrência, a fim de proteger seus interesses.
Contabilidade responsável
A Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) prevê no Art. 42 que todo controlador ou operador de dados, tem responsabilidade solidária e precisa dotar medidas técnicas e administrativas aptas a garantir a segurança dos dados que por eles estão sendo tratados.
No caso em tela, cabe ressaltar que o envio do e-mail disparado da caixa da contabilidade, pode configurar responsabilidade solidária e caso o golpe fosse concretizado, poderia ter desdobramentos jurídicos cíveis e junto a Autoridade Nacional de Proteção de Dados como aplicação de sanções administrativas e pecuniárias.
Prejuízos
O chamado e-mail phishing é uma técnica fraudulenta usada por criminosos para enganar pessoas e obter informações confidenciais, como senhas e dados de cartão de crédito. Quando um empresário recebe um e-mail falso com phishing, os riscos incluem:
Perda financeira – Se um empresário for enganado por um e-mail de phishing e fornecer informações de conta bancária ou cartão de crédito, os criminosos podem acessar essas contas e realizar transações não autorizadas.
Roubo de identidade – Além do acesso financeiro, os criminosos podem usar as informações pessoais obtidas para cometer fraudes em nome da vítima.
Vazamento de informações confidenciais – Empresários muitas vezes têm acesso a informações sensíveis, como detalhes de clientes, estratégias de negócios e propriedade intelectual. Um ataque bem-sucedido pode resultar no vazamento desses dados.
Infecção por malware – Alguns e-mails de phishing contêm links ou anexos maliciosos que, quando clicados ou abertos, podem infectar o dispositivo do usuário com malware, como ransomware, spyware ou trojans.
Danos à reputação – Se informações confidenciais da empresa forem comprometidas, isso pode prejudicar a reputação da empresa, afetando a confiança dos clientes e parceiros.
Custos de recuperação – Após um ataque bem-sucedido de phishing, as empresas podem enfrentar custos significativos para remediar o dano, incluindo a necessidade de melhorar a segurança, investigar a extensão do comprometimento e, em alguns casos, pagar resgates para descriptografar dados.
Interrupção das operações – Dependendo da natureza do ataque e do impacto, as operações normais da empresa podem ser interrompidas, levando a perdas operacionais e, em alguns casos, à paralisação temporária dos negócios.
Responsabilidades legais – Dependendo da jurisdição e das regulamentações aplicáveis, as empresas podem ser responsabilizadas por não proteger adequadamente os dados de seus clientes ou por não informar prontamente sobre violações de dados.
Dicas para evitar golpes
As empresas de Contabilidade lidam com informações financeiras sensíveis e são alvos atraentes para ataques de phishing. A proteção contra essas ameaças requer uma abordagem multifacetada. Aqui estão algumas medidas que as empresas de Contabilidade podem adotar para se protegerem:
Conscientização e treinamento dos funcionários – Um dos principais pontos fracos em qualquer sistema de segurança é o elemento humano. Funcionários bem treinados são a primeira linha de defesa contra ataques de phishing. É vital fornecer treinamento regular sobre os tipos mais recentes de ataques de phishing e como reconhecê-los.
Implementação de sistemas de filtragem de e-mail – Utilizar soluções de filtragem de e-mail que detectem e bloqueiem e-mails suspeitos antes que eles cheguem à caixa de entrada do usuário. Estes sistemas podem identificar sinais reveladores de e-mails de phishing, como domínios suspeitos ou anexos maliciosos.
Ativação da autenticação de dois fatores (2FA) – Ao exigir um segundo método de verificação além da senha, como um código enviado por SMS ou um aplicativo de autenticação, é possível adicionar uma camada extra de segurança. Mesmo que um criminoso obtenha a senha de um funcionário, ele ainda terá dificuldade em acessar a conta sem o segundo fator.
Manter o software atualizado – Assegure-se de que todos os sistemas operacionais, programas e aplicativos estejam atualizados com as últimas versões e patches de segurança. Os criminosos frequentemente exploram vulnerabilidades em software desatualizado.
Backup regular dos dados – No caso de um ataque bem-sucedido, ter backups atualizados e seguros dos dados da empresa pode ser a diferença entre uma recuperação rápida e uma perda devastadora. Os backups devem ser realizados regularmente e armazenados em um local seguro, preferencialmente desconectado da rede principal.
Implementação de uma política de acesso restrito – Restrinja o acesso a informações sensíveis apenas àqueles que realmente precisam delas para realizar seu trabalho. Além disso, use princípios de menor privilégio, garantindo que os funcionários tenham apenas as permissões necessárias para realizar suas tarefas.
Monitoramento e resposta a incidentes – Ter um plano de resposta a incidentes pronto para ser implementado em caso de uma violação de segurança. Este plano deve incluir a identificação do problema, a contenção do dano, a comunicação com as partes interessadas e a recuperação dos sistemas afetados.
A proteção contra phishing requer vigilância contínua e a combinação de várias estratégias. Ao adotar uma abordagem proativa, as empresas de contabilidade podem proteger-se de maneira eficaz contra ameaças de e-mail e manter a confiança de seus clientes.
Com informações de www.esfala.com.br e Damião Oliveira, Encarregado de Dados – Fecontesc (DpoaaS – Somaxi Group)