Rua da Pátria, 569 Jaquirana/RS

  • (54) 3253-1096
  • (54) 99974-3340

José Claudio Pereira
CRC/RS 46.949
joseclaudio@dataconcontabilidade.cnt.br

Eonara do Carmo Cesa Paim
CRC/RS 56.102
narapaim@dataconcontabilidade.cnt.br

Urgente: Novo Golpe com e-mail atinge Clientes de Escritórios de Contabilidade

Fraudes com e-mails, conhecidas como phishing, são técnicas utilizadas por criminosos para enganar destinatários e obter informações confidenciais.

Um empresário de Colatina/ES, sofreu um incidente de tentativa de golpe virtual envolvendo um órgão público.

Segundo a vítima, ele recebeu um e-mail (phishing) para acessar um link com detalhes de supostos autos de notificação que teria de pagar.

O Empresário, recebeu o e-mail do Escritório de Contabilidade que presta serviços para sua empresa e por isso abriu o link sem questionar.

O e-mail phishing pode ser uma nova estratégia adotada por criminosos, que usam escritórios de contabilidade, que, por sua vez, os repassam aos seus clientes, tornando o cliente mais confiante em abrir este tipo de e-mail.

Vamos entender o que é e-mail phishing e quais problemas sérios podem acarretar:

O e-mail phishing é uma técnica fraudulenta usada por criminosos para enganar pessoas e obter informações confidenciais, como senhas e dados de cartão de crédito. Quando um empresário recebe um e-mail falso com phishing, os riscos incluem:

  • Perda financeira:

Se um empresário for enganado por um e-mail de phishing e fornecer informações de conta bancária ou cartão de crédito, os criminosos podem acessar essas contas e realizar transações não autorizadas.

  • Roubo de identidade:

Além do acesso financeiro, os criminosos podem usar as informações pessoais obtidas para cometer fraudes em nome da vítima.

  • Vazamento de informações confidenciais:

Empresários muitas vezes têm acesso a informações sensíveis, como detalhes de clientes, estratégias de negócios e propriedade intelectual. Um ataque bem-sucedido pode resultar no vazamento desses dados.

  • Infecção por malware:

Alguns e-mails de phishing contêm links ou anexos maliciosos que, quando clicados ou abertos, podem infectar o dispositivo do usuário com malware, como ransomware, spyware ou trojans.

  • Danos à reputação:

Se informações confidenciais da empresa forem comprometidas, isso pode prejudicar a reputação da empresa, afetando a confiança dos clientes e parceiros.

  • Custos de recuperação:

Após um ataque bem-sucedido de phishing, as empresas podem enfrentar custos significativos para remediar o dano, incluindo a necessidade de melhorar a segurança, investigar a extensão do comprometimento e, em alguns casos, pagar resgates para descriptografar dados.

  • Interrupção das operações:

Dependendo da natureza do ataque e do impacto, as operações normais da empresa podem ser interrompidas, levando a perdas operacionais e, em alguns casos, à paralisação temporária dos negócios.

  • Responsabilidades legais:

Dependendo da jurisdição e das regulamentações aplicáveis, as empresas podem ser responsabilizadas por não proteger adequadamente os dados de seus clientes ou por não informar prontamente sobre violações de dados.

O empresário também expressou preocupação com o potencial impacto negativo que esse tipo de golpe pode ter nas empresas, especialmente aquelas que prestam serviços, que parecem ser alvos preferenciais dos criminosos.

Ele fez um apelo para que o Portal de Notícias ES FALA compartilhe sua preocupação, acreditando que a conscientização pública é fundamental para prevenir futuras tentativas de golpes semelhantes.

Como os Escritórios de Contabilidade podem se proteger deste tipo de golpe

As empresas de contabilidade lidam com informações financeiras sensíveis e são alvos atraentes para ataques de phishing. A proteção contra essas ameaças requer uma abordagem multifacetada. Aqui estão algumas medidas que as empresas de contabilidade podem adotar para se protegerem:

Conscientização e treinamento dos funcionários:

Um dos principais pontos fracos em qualquer sistema de segurança é o elemento humano. Funcionários bem treinados são a primeira linha de defesa contra ataques de phishing. É vital fornecer treinamento regular sobre os tipos mais recentes de ataques de phishing e como reconhecê-los.

Implementação de sistemas de filtragem de e-mail:

Utilizar soluções de filtragem de e-mail que detectem e bloqueiem e-mails suspeitos antes que eles cheguem à caixa de entrada do usuário. Estes sistemas podem identificar sinais reveladores de e-mails de phishing, como domínios suspeitos ou anexos maliciosos.

Ativação da autenticação de dois fatores (2FA):

Ao exigir um segundo método de verificação além da senha, como um código enviado por SMS ou um aplicativo de autenticação, é possível adicionar uma camada extra de segurança. Mesmo que um criminoso obtenha a senha de um funcionário, ele ainda terá dificuldade em acessar a conta sem o segundo fator.

Manter o software atualizado:

Assegure-se de que todos os sistemas operacionais, programas e aplicativos estejam atualizados com as últimas versões e patches de segurança. Os criminosos frequentemente exploram vulnerabilidades em software desatualizado.

Backup regular dos dados:

No caso de um ataque bem-sucedido, ter backups atualizados e seguros dos dados da empresa pode ser a diferença entre uma recuperação rápida e uma perda devastadora. Os backups devem ser realizados regularmente e armazenados em um local seguro, preferencialmente desconectado da rede principal.

Implementação de uma política de acesso restrito:

Restrinja o acesso a informações sensíveis apenas àqueles que realmente precisam delas para realizar seu trabalho. Além disso, use princípios de menor privilégio, garantindo que os funcionários tenham apenas as permissões necessárias para realizar suas tarefas.

Monitoramento e resposta a incidentes:

Backup regular dos dados:

No caso de um ataque bem-sucedido, ter backups atualizados e seguros dos dados da empresa pode ser a diferença entre uma recuperação rápida e uma perda devastadora. Os backups devem ser realizados regularmente e armazenados em um local seguro, preferencialmente desconectado da rede principal.

Implementação de uma política de acesso restrito:

Restrinja o acesso a informações sensíveis apenas àqueles que realmente precisam delas para realizar seu trabalho. Além disso, use princípios de menor privilégio, garantindo que os funcionários tenham apenas as permissões necessárias para realizar suas tarefas.

Monitoramento e resposta a incidentes: