No mundo atual, as redes sociais consolidaram-se como uma ferramenta indispensável para maximizar nossa visibilidade em ambientes profissionais por meio de publicações tanto do âmbito pessoal quanto profissional. Toda essa informação sobre nós que está na internet e que é facilmente acessível pelos principais buscadores é o que se conhece como pegada digital. Embora seja verdade que parte dessa informação pode provir de brechas de segurança sofridas pelas empresas com as quais temos algum serviço contratado, também é verdade que a maioria da informação acessível geralmente foi publicada por nós mesmos ou por nossos entes queridos.
E é que o grande papel que as redes sociais desempenham no aumento de nossa visibilidade e da nossa empresa também tem seus riscos. Algo, a priori, tão banal como compartilhar nossa informação de contato (telefone ou endereço de e-mail) em nosso perfil profissional pode nos converter facilmente em potenciais vítimas de ataques de engenharia social. Ou seja, de ataques baseados na manipulação e no engano com o objetivo de conseguir de nós informações críticas ou dinheiro.
Este risco é ainda mais preocupante quando se trata de um e-mail ou telefone celular corporativo, já que frequentemente o primeiro costuma coincidir com nosso usuário e o segundo com o número no qual recebemos o duplo fator de autenticação. Se nosso e-mail e nosso telefone profissional fossem vulnerados, a segurança de nossa empresa poderia ser seriamente ameaçada.
Deve-se levar em conta que, além de nossos dados de contato, toda informação que publicarmos pode ser utilizada pelos cibercriminosos para dotar de um contexto realista seus ataques. Por exemplo, publicar que vamos assistir – ou estamos assistindo – a um congresso pode dar a um cibercriminoso uma pista sobre quando é o melhor momento para escrever a um funcionário a nosso cargo fazendo-se passar por nós. Isso é muito frequente no ciberataque denominado “Fraude do CEO”, no qual o atacante suplanta a identidade de um alto cargo e contata um funcionário do departamento administrativo ou financeiro de sua empresa para, em seguida, solicitar que realize uma transferência urgente alegando um movimento estratégico criticamente confidencial. Se previamente publicamos em nossas redes sociais que vamos assistir a um evento, o cibercriminoso pode aproveitar essa data para lançar o ataque, dotá-lo de maior credibilidade ao incluir informações como -”como você sabe, estou no congresso de…”- e aproveitar a suposta assistência ao evento como desculpa para alegar que lhe é impossível responder ao telefone ou acessar o e-mail corporativo e que qualquer comunicação deve ser realizada respondendo ao mesmo e-mail enviado por ele. Reduzindo assim as possibilidades de que o funcionário contate seu superior verdadeiro por outro canal e descubra o engano.
Da mesma forma que ocorre com a publicação de uma assistência a um congresso ou a uma viagem, convém evitar publicar qualquer outra informação que permita aos cibercriminosos idear um contexto crível para seus ataques.
Isso não quer dizer que não possamos continuar nos beneficiando de todas essas sinergias positivas que as redes sociais geram no âmbito profissional, já que podem ser utilizadas de forma segura simplesmente tendo a precaução de aplicar as seguintes recomendações:
Lembre-se que o e-mail da empresa não deve ser utilizado para se registrar em serviços não corporativos.
Evite publicar sua informação de contato, como pode ser o telefone ou o e-mail. As principais redes sociais oferecem formas de contato através da mesma plataforma.
Além disso, evite igualmente compartilhar informações pessoais sensíveis, especialmente se puderem ser utilizadas pelos cibercriminosos para elaborar contextos críveis para seus ataques.
Se você for viajar ou assistir a um evento, espere para retornar antes de compartilhar conteúdo a respeito.
Finalmente, pratique egosurfing com frequência. Ou seja, busque seu nome completo, seu telefone, seu e-mail, etc. nos principais buscadores para saber que informação está disponível na internet sobre você.
Configuração de cookies
