Empregado do Snapchat caiu em esquema de phishing por email

Quando até um funcionário de uma empresa tecnológica cai facilmente num esquema de phishing, os gestores percebem como é complexa a questão da engenharia social. Nenhum antivírus consegue resolver o problema.

Foi o que descobriram os engenheiros da aplicação de mensagens Snapchat, após um incidente na sexta-feira que expôs informação confidencial da empresa. A falha foi revelada no seu blogue corporativo domingo à noite, enquanto decorria a cerimónia dos Óscares em Hollywood.

“Somos uma empresa que leva a privacidade e a segurança a sério. Por isso é com grande remorso e embaraço que [revelamos] que um dos nossos empregados caiu num esquema de phishing e revelou alguma informação de pagamentos sobre colaboradores nossos”, lê-se no blogue, num texto assinado pela “equipa Snapchat.”

A boa notícia, dizem, é que os sistemas informáticos da empresa não sofreram qualquer intrusão e que o alvo foi informação interna, não sobre os utilizadores da aplicação. A má notícia é que vários dos colaboradores correm agora o risco de roubo de identidade, um crime muito comum nos Estados Unidos, de consequências desastrosas.

A forma como o cibercriminoso conseguiu a informação é assustadoramente simples. Um funcionário do departamento de recursos humanos do Snapchat recebeu um email de alguém a fazer-se passar pelo CEO da empresa, Evan Spiegel, e a pedir informação sobre os pagamentos aos empregados. “Infelizmente, o email não foi reconhecido pelo que era, um esquema fraudulento, e a informação sobre empregados antigos e correntes foi enviada.”

Quatro horas depois do incidente, a equipa confirmou que o ataque foi um incidente isolado e contactou o FBI. Os colaboradores afetados foram informados do caso e receberam a oferta de dois anos pagos de seguro contra roubo de identidade.

O problema da engenharia social é que é tão antiga quanto os esquemas dos intrujões. O seu sucesso depende da credulidade da vítima. É impossível de detetar por software, e emails como este parecem tão legítimos que o filtro de spam não os retém.

“Quando algo como isto acontece, tudo o que podemos fazer é admitir o erro, cuidar das pessoas afetadas e aprender com o que correu mal”, sublinha a Snapchat. Como tal, o programa de formação em segurança e privacidade para os funcionários será reforçado nas próximas semanas.