Por definição os recursos humanos de determinada organização são um ponto de convergência de informação, tanto interna como externa. Do lado interno temos todos os dados dos colaboradores da organização, desde os vencimentos ate ao historial médico, por sua vez do lado externo, temos toda a informação de candidatos a vagas de emprego na organização.

Ora isto faz dos recursos humanos e das pessoas que trabalham neste sector o alvo perfeito para executar um ataque à organização, se conseguirmos comprometer os recursos humanos temos acesso a informação critica e confidencial da empresa, que podem ser usados por exemplo em ataques de engenharia social.

Um exemplo disto foi no inicio de 2017 o ransomware GoldenEye, que consistia no envio de uma candidatura por e-mail com dois ficheiros, um pdf com um CV normal e um outro em formato excel, que continha o código malicioso que cifrava todo o disco sendo depois necessário pagar um resgate para voltar a aceder aos dados.

Uma outra vulnerabilidade usada no final deste ano contra empresas de recursos humanos foi a descrita no CVE-2017-8759 que pode ser vista em https://nvd.nist.gov/vuln/detail/CVE-2017-8759, resumidamente através de um documento word era possível executar um codigo malicioso e tomar conta da estação de trabalho onde o e-mail era recebido.

Tudo é mais complicado tendo em conta que os recrutadores esperam receber e-mails de desconhecidos e ficheiros com candidaturas e o normal é abrirem esses ficheiros, faz parte dos procedimentos de receção de candidaturas.

Agora com podemos proteger os profissionais de recursos humanos destes ataques?

Aqui deixo algumas medidas simples.

  1. Terem as maquinas com sistemas operativos sempre atualizados
  2. Usar uma VM para abrir os documentos, ou seja uma maquina virtual que se for comprometida não tem nada de confidencial ou critico e pode ser simplesmente eliminada, ou então usar uma sandbox, como a www.sandboxie.com , que faz com que as aplicações corram numa parte isolada da maquina não afetando o sistema principal se forem atacadas.
  3. Não publicarem e-mails pessoais dos colaboradores dos recursos humanos no sites onde anunciam as vagas, um email pessoal dá muita informação sobre o formato dos e-mails internos e das pessoas que lá trabalham, o ideal será usar algo inócuo como por exemplo [email protected]
  4. Consciencializar é a palavra de ordem, mostrar os perigos, onde não se deve carregar e o que não se deve fazer, por exemplo por uma pen USB de um candidato diretamente numa maquina na empresa sem a passar por um sistema de deteção de malware.

Testar a organização com ataques simulados de engenharia social e de propagação de malware .