Microsoft Office apresenta vulnerabilidades

As palestras da SAS 2019 não trataram apenas dos ataques sofisticados de APTs, mas também do trabalho diário de nossos pesquisadores que lutam contra os malware. Nossos especialistas Boris Larin, Vlad Stolyarov e Alexander Liskin prepararam um estudo sobre a detecção de ataques multicamadas de 0-day no MS Office chamado “Catching multilayered zero-day attacks on MS Office”. O foco da pesquisa são as ferramentas que os ajudam na análise de malwares, mas também chamaram a atenção para o atual cenário de ameaças do Microsoft Office.

As alterações que o cenário de ameaças sofreu em apenas dois anos são dignas de menção. Nossos especialistas estudaram os números de usuários vítimas de ataques por plataformas alvos no final do ano passado, em comparação a apenas dois anos atrás. A conclusão foi que os cibercriminosos mudaram sua preferência por vulnerabilidades da web para as do MS Office. Mas mesmo eles foram surpreendidos a magnitude da mudança: nos últimos meses, o MS Office tornou-se a plataforma mais explorada, sofrendo mais do que 70% dos ataques.

No início do ano passado, exploits de 0-day começaram a surgir no MS Office. Geralmente, eles tentavam uma campanha direcionada, mas com o passar do tempo, são publicados e acabam integrados a um gerador de documentos maliciosos. No entanto, o tempo de resposta foi reduzido consideravelmente. Por exemplo, no caso da CVE-2017-11882, a primeira vulnerabilidade do editor de equações que nosso especialista observou, uma enorme campanha de spam foi lançada no mesmo dia que se publicou a prova conceito. Algo semelhante ocorreu com outras brechas de segurança: depois que um relatório de vulnerabilidade é divulgado publicamente, é uma questão de dias até que um exploit apareça no mercado do cibercrime. Inclusive, os bugs se tornaram bem menos complexos e, às vezes, tudo que o cibercriminoso precisa para gerar um exploit funcional é uma análise detalhada.
Depois de avaliar as brechas de segurança mais utilizadas em 2018, podemos confirmar que os autores de malware preferem bugs simples, mas lógicos. Portanto, as vulnerabilidades CVE-2017-11882 e CVE-2018-0802 do editor de equação são agora as mais exploradas no MS Office. De forma geral, são confiáveis e funcionam em todas as versões de Word lançadas nos últimos 17 anos e, mais importante, não exigem habilidades avançadas para criar um exploit, já que o editor de equações binárias não têm quaisquer proteções e medidas atuais que seriam esperadas de um aplicativo em 2018.

Curiosamente, deve-se notar que nenhuma das vulnerabilidades mais exploradas são encontradas no próprio MS Office, mas em seus componentes.

Mas por que esse tipo de coisa continua acontecendo?

Bem, a superfície de ataque do MS Office é enorme, com muitos formatos de arquivo complexos que devem ser considerados, bem como a sua integração com o Windows e interoperabilidade. E, mais importante em termos de segurança, muitas das decisões tomadas durante a criação do Microsoft Office não são mais adequadas, mas modificá-las pode prejudicar a compatibilidade com versões anteriores.

Somente em 2018, encontramos várias vulnerabilidades aproveitadas por exploit de 0-day. Entre elas, a CVE-2018-8174 (a vulnerabilidade remota de execução de código do mecanismo VBScript do Windows) que é especialmente interessante, pois o exploit foi inicialmente detectado em um documento do Word, mas hoje se espalhou para o Internet Explorer. Para mais informações, consulte esta publicação no Securelist.

Como a Kaspersky encontrou as vulnerabilidades?

Os produtos de segurança para endpoints da Kaspersky têm funcionalidades heurística muito avançadas para detectar ameaças distribuídas por meio de documentos MS Office. É uma das primeiras camadas de detecção. O mecanismo heurístico conhece todos os formatos de arquivos e de ofuscação de documentos atuando como a frente de defesa inicial. Mas quando encontramos um objeto malicioso, não nos limitamos a determinar simplesmente se é perigoso. Ele passa por diferentes camadas de segurança. Por exemplo, por uma tecnologia que foi particularmente bem-sucedida no isolamento do processo conhecida sandbox.

Com relação à segurança da informação, sandboxes são usadas para separar os ambientes inseguros dos seguros, ou vice-versa, a fim de protegê-los contra a exploração de vulnerabilidades e para analisar o código malicioso. Nossa sandbox é um sistema para detectar malware que executa um objeto suspeito em uma máquina virtual com um sistema operacional totalmente funcional, e detecta a atividade mal-intencionada por meio de uma análise comportamental. Foi desenvolvida há alguns anos para ser usada em nossa infraestrutura e, posteriormente, tornou-se parte do Kaspersky Anti-Targeted Attack Platform.

O Microsoft Office tem sido e permanecerá como alvo preferido dos cibercriminosos. Eles perseguem as brechas mais fáceis, assim, as funcionalidades obsoletas continuarão a ser usadas para tirar vantagem ilegalmente. Para proteger sua empresa, aconselhamos a utilização de soluções cuja eficácia tenha sido testada na longa lista de CVEs detectadas.

Fonte: Kaspersky

Clonagem de celular – ameaça ronda usuários brasileiros

O SIM swap, conhecido popularmente como “clonagem dos chips do celular”, é uma fraude que está sendo amplamente utilizada por cibercriminosos no País. Essa técnica é um recurso legítimo e utilizado quando um smartphone é perdido ou roubado, e permite ao dono da linha ativar o número em outro chip. Os golpistas, porém, estão constantemente enganando as operadoras de celular para fazer a portabilidade do número do dispositivo roubado para um novo chip. Uma investigação conjunta, entre a Kaspersky Lab e o CERT de Moçambique, descobriu que esse tipo de ataque é muito comum também no mundo todo, sendo usado pelos cibercriminosos não apenas para roubar credenciais e capturar senhas de uso único (OTPs) enviadas por SMS, mas também para roubar dinheiro das vítimas.
Os pagamentos móveis tornaram-se muito populares, especialmente em mercados emergentes, como África e América Latina, onde os consumidores podem facilmente depositar, sacar e pagar bens e serviços usando seus dispositivos móveis. Porém, eles também estão sendo alvos de uma onda de ataques, e as pessoas estão perdendo dinheiro em fraudes de clonagem de chips em grande escala.

Como funciona o golpe

O golpe começa com a coleta de dados das vítimas por meio de e-mails de phishing, engenharia social, vazamentos de dados ou até pela compra de informações de grupos criminosos organizados. Depois de obter os dados necessários, o cibercriminoso entra em contato com a operadora móvel, passando-se pela vítima, para que faça a portabilidade e ative o número do telefone no chip do fraudador. Quando isso acontece, o telefone da vítima perde a conexão (voz e dados) e o fraudador recebe todos os SMSs e chamadas de voz destinados à vítima. Assim, todos os serviços que dependem da autenticação de dois fatores ficam vulneráveis.

Para se ter uma ideia, somente no Brasil um grupo organizado de cibercriminosos conseguiu clonar o chip de 5 mil vítimas, envolvendo não apenas pessoas comuns, mas também políticos, ministros, governadores, celebridades e empresários famosos. Em Moçambique um golpe causou prejuízo de US$ 50 mil a um empresário, roubados de suas contas bancárias, já no Brasil foram identificadas diversas fraudes de R$ 10 mil cada. Porém, é difícil estimar o impacto total desse tipo de ataque na América Latina, África e no mundo, pois a maioria dos bancos não divulga as estatísticas publicamente.

Na África, o maior banco de Moçambique registrou uma média mensal de 17,2 casos de fraude por clonagem de chips. Tal situação levou bancos e operadoras no país a adotar uma solução simples, porém eficaz no combate à fraude. Eles desenvolveram um sistema integrado de consulta em tempo real que possibilitou zerar os casos de fraude no país.

A investigação também mostrou que, em alguns casos, o alvo pretendido é a própria operadora de celular. Isso acontece quando funcionários da operadora não conseguem identificar um documento fraudulento e permitem que o fraudador ative um novo chip. Outro grande problema são os funcionários corruptos, recrutados pelos cibercriminosos, que pagam de 40 a 150 reais por chip ativado. No entanto, o pior tipo de ataque ocorre quando um cibercriminoso envia um e-mail de phishing com o objetivo de roubar as credenciais do funcionário para ter acesso direto ao sistema da operadora. Quando isso acontece, o cibercriminoso consegue realizar um ataque em duas ou três horas sem muito esforço.

“O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem ser direcionados ou não, mas qualquer pessoa pode ser vítima. Tudo o que o criminoso precisa é do número do celular, que pode ser obtido facilmente pesquisando vazamentos de bancos de dados, comprando bancos de dados de empresas de marketing ou usando aplicativos que oferecem serviços de bloqueio de spam e identificação do chamador. Na maioria dos casos, é possível descobrir o número do seu celular com uma simples busca no Google”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pela pesquisa.

WhatsApp e fintechs

A técnica de clonagem de chips também gerou um novo tipo de ataque conhecido como ‘clonagem do WhatsApp’. Neste caso, depois da ativação do chip no celular do criminoso, ele carrega o WhatsApp para restaurar os chats e contatos da vítima no aplicativo. Então, manda mensagens para os contatos como se fosse a vítima, falando de uma emergência e pedindo dinheiro. Alguns dos ataques atingiram empresas depois que cibercriminosos conseguiram sequestrar o celular de um executivo e usaram a clonagem do WhatsApp para solicitar recursos do departamento financeiro da empresa. O golpe é semelhante ao comprometimento de e-mails corporativos (BEC), mas usando contas do WhatsApp.

De maneira semelhante, os cibercriminosos passaram a usar esta técnica para burlar os avanços no setor financeiro, incluindo de fintechs populares e assim esvaziar as contas bancárias das vítimas. Como a maioria dos aplicativos financeiros ainda depende da autenticação de dois fatores, os cibercriminosos conseguem usar a função de recuperação de senha do aplicativo para receber um código SMS e, assim, ter total controle sobre a conta do usuário e efetuar pagamentos ilegais usando o cartão de crédito registrado no aplicativo.

“Embora não haja uma solução milagrosa, a extinção da autenticação de dois fatores via SMS é o melhor caminho a seguir. Isso é particularmente verdadeiro quando falamos de Internet Banking. Quando os serviços financeiros pararem de usar esse tipo de autenticação, os golpistas irão focar em outras coisas, como redes sociais, serviços de e-mail e mensageiros instantâneos para continuar roubando”, conclui Assolini.

Como não ser vítima:

  • Quando possível, os usuários devem evitar usar a autenticação de dois fatores via SMS, optando por outros métodos, como a geração de uma autenticação única (OTP) via aplicativo móvel (como o Google Authenticator) ou o uso de um token físico. Infelizmente, alguns serviços online não apresentam alternativas. Nesse caso, o usuário precisa estar ciente dos riscos.
  • Quando é solicitada a troca do chip, as operadoras devem implementar uma mensagem automatizada que é enviada para o número do celular, alertando o proprietário de que houve uma solicitação de troca do chip e, caso ela não seja autorizada, o assinante deve entrar em contato com uma linha direta para fraudes. Isso não impedirá os sequestros, mas avisará o assinante para que ele possa responder o mais rápido possível em caso de atividades maliciosas. Caso a operadora não ofereça esse tipo de serviço, o usuário deve entrar em contato solicitando um posicionamento a respeito.
  • Para evitar o sequestro do WhatsApp, os usuários devem ativar a dupla autenticação (2FA) usando um PIN de seis dígitos no dispositivo, pois isso adiciona uma camada extra de segurança que não é tão fácil de burlar.
  • Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.
Fonte: Kaspersky

Malware de mineração de criptomoeda ainda permanece como ameaça

malwareEmbora os serviços de mineração de criptomoeda, como o Coinhive, tenham encerrado no último mês de março, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo, segundo o Índice Global de Ameaças referente ao mês de março de 2019, da Check Point Research.

Segundo pesquisadores da companhia, é a primeira vez desde dezembro de 2017 que o Coinhive caiu da primeira posição, mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum a afetar as companhias durante o mês. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o código JavaScriptCoinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. A expectativa é que outros serviços de mineração também aumentem a sua atividade para aproveitar a ausência do Coinhive.

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”.

“No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineração mais robustas, utilizando ambientes em nuvem para mineração. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Fonte: itmidia

Método russo à serviço dos cibercriminosos brasileiros

cibercrimeNão é novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usuários – mas não é sempre que criam novas técnicas. A Kaspersky Lab identificou uma campanha de malware bancário utilizando o método BOM para confundir scanners de e-mail e infectar as vítimas – esta é a primeira vez que a técnica é utilizada no País e tem como alvo correntistas brasileiros e chilenos. Os usuários dos produtos da companhia estão protegidos deste ataque.

Técnica de 2013

Criados por criminosos russos para distribuir malware de sistemas Windows, essa técnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detecção. Campanhas de malware bancários dependem das famosas mensagens de phishing para aumentar o número de vítimas. O desafio dos criminosos russos era confundir os scanners de e-mail, então criaram um arquivo .ZIP com cabeçalho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usuários.malware zipadoAo tentar abrir o arquivo compactado utilizando o visualizador padrão do Windows Explorer, o usuário vê uma mensagem de erro, dizendo que está corrompido. Ao analisá-lo, os especialistas da Kaspersky perceberam que o cabeçalho do ZIP contém três bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura “PK” (0x504B), que é o padrão do ZIP. Já o BOM é encontrado normalmente em arquivos de texto com codificação UTF-8. O ponto é que algumas ferramentas não irão reconhecer este arquivo como um ZIP -elas o lerão como um arquivo de texto e não conseguirão abri-lo.

Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e irão extrair seu conteúdo corretamente. Uma vez que o usuário faça isso, será infectado. Quando isso acontece, o malware atuará como ponte para baixar o malware principal.malwareApós uma sequência de processos que visam evitar a detecção das ações maliciosas, é baixado o malware principal: variantes do malware Banking RAT que fica inoperante na máquina da vítima até que esta tente acessar seu Internet banking. Neste momento, ele começa a capturar tokens, código de acesso, data de aniversário, senha de acesso, entre outras formas de autenticação bancária.
“Identificamos atividades da campanha maliciosas usando o método BOM contra correntistas brasileiros e chilenos. Tecnicamente, é engenhosa e, por isso, é ingênuo esperar que com seis anos desde seu descobrimento não será efetiva. Usuários que contam com uma solução de segurança não correm muitos riscos, porém quem não tem nenhuma proteção está vulnerável”, afirma Thiago Marques, analista de segurança da Kaspersky Lab.

Todos os produtos da companhia estão aptos a extrair e analisar arquivos comprimidos contendo Byte Order Mark, além de já identificarem e bloquearem o malware usado neste golpe.

Mais informações sobre a ataque estão disponíveis no Securelist.com.

Fonte: Kaspersky

A nova modalidade de ataque ao seu dinheiro dos cibercriminosos

cibercriminosoAutenticação de dois fatores (2FA na sigla em inglês) é um método utilizado amplamente por instituições financeiras ao redor do mundo que objetiva manter o dinheiro de clientes seguro: sabe, aqueles códigos de 4 a 6 dígitos que você recebe do banco e precisa digitar para aprovar uma transação. Usualmente, bancos enviam esses códigos de SMS por mensagens de texto. Infelizmente, SMS é uma das formas mais frágeis de implementar 2FA, pois são interceptáveis. Foi exatamente isso que ocorreu no Reino Unido.

Como os criminosos colocam as mãos nas mensagens de texto? Bem, há formas diferentes, e uma das mais extravagantes é por meio da falha de segurança SS7, um protocolo usado por empresas de telecomunicações para coordenar como direcionam mensagens e chamadas. A rede SS7 não se importa com quem enviou o pedido. Caso criminosos consigam acessá-la, a rede seguirá seus comandos de redirecionamento de mensagens e chamadas como se fossem legítimos.

O esquema segue assim: os cibercriminosos primeiro obtêm a senha e usuário do internet banking – seja por phishing, keyloggers ou Banking Trojans. A partir daí, entram na conta e realizam a transferência. Hoje, a maioria dos bancos pediria uma confirmação adicional para essa operação e enviaria um código de verificação ao usuário da conta. Se o banco faz isso por meio de mensagens de texto, é aí que os malfeitores se valem da vulnerabilidade SS7: interceptam o texto e usam o código, como se estivessem com seu telefone. As instituições financeiras, por sua vez, aceitam a transação como legítima, pois foi autorizada duas vezes: uma pela senha, e outra com o código de uso único. E assim, o dinheiro vai para o criminoso.

Os bancos do Reino Unido confirmaram ao Motherboard que alguns de seus clientes foram vítimas desse tipo de fraude. Em 2017, o Süddeutsche Zeitung reportou que bancos alemães também passaram pelo mesmo problema.

Há também boas notícias. Como a própria Metro Bank comenta, um número mínimo de clientes passaram por isso e “nenhum deles saiu no prejuízo”.

A situação como um todo poderia ser evitada se os bancos utilizassem outras formas de 2FA que não se valessem de mensagens de texto (como por exemplo, um aplicativo de autenticações ou, digamos uma autenticação pautada em hardware como o Yubikey). Infelizmente, no momento, as instituições financeiras (com raras exceções) não permitem outras formas de autenticação de dois fatores que não SMS. Esperemos que em futuro próximo mais bancos mundialmente ofereçam alternativas aos clientes no que concerne sua proteção.

Portanto, a lição dessa história é a seguinte:

  • É bom usar autenticação de dois fatores sempre possível, mas melhor ainda é utilizar um método que envolva aplicativos de autenticação ou Yubikeys. Experimente esses como alternativa ao SMS.
  • Use uma solução de antivírus confiável para manter os Banking Trojans e keyloggers longe de seu sistema – de forma que não possam roubar suas credenciais de acesso, e você nem precise se preocupar em situações como essa.
Fonte: Kaspersky

Venda de ferramentas na rede para criação de RAR malware

O WinRAR, uma unanimidade no Brasil, tem algumas vulnerabilidades críticas que foram encontradas nos últimos meses — entre elas, a possibilidade de instalar malwares, ransomwares e backdoors em computadores. Agora, segundo a empresa de segurança ESET, cibercriminosos estão vendendo ferramentas que permitem a criação de arquivos maliciosos em formato “.rar” para enganar a vítima.

A investigação mostra que os cibercriminosos vendem a ferramenta — chamadas de ‘builders’ — em diversos fóruns de hacking. O tipo de venda também mostra uma capacidade de ‘negócio’ para os hackers mal-intencionados: uma builder custa US$ 199, porém, é possível comprar licenças de uso por US$ 99 mensais.

Para se proteger destes golpes, é preciso atualizar o WinRAR presente em seu computador para a versão 5.70

“Esse builder só precisa que o usuário escolha o arquivo com o executável malicioso e o nome para o arquivo .rar que conterá o malware. Uma vez extraído o conteúdo do arquivo compactado com o WinRAR, o código malicioso será dropeado e executado na pasta principal assim que o computador seja reiniciado”, explica a ESET.

Mesmo assim, a empresa afirma que ainda aparecem cibercriminosos oferecendo os builders de maneira gratuita, o que é um perigo. “Em outro fórum de hacking, um usuário publicou recentemente que, ao saber que alguns membros começaram a criar “builders” que se aproveitam da vulnerabilidade CVE-2018-20250 e os comercializam para pessoas que não sabem como desenvolver um exploit para essa vulnerabilidade por conta própria, decidiu criar um site que permite que um arquivo RAR malicioso seja gerado gratuitamente para evitar que novatos, conhecidos em inglês como “script kiddies”, obtenham dinheiro para criar uma ferramenta que permita explorar a vulnerabilidade que afeta as versões do WinRAR. anteriores a 5.70”.

Para se proteger destes golpes, é preciso atualizar o WinRAR presente em seu computador para a versão 5.70. Mesmo assim, independentemente de atualização ao não, simplesmente evite abrir arquivos recebidos que não foram solicitados — a curiosidade é um dos maiores vetores de golpes na internet, vide a relação phishing x Brasil, praticamente um caso de amor.

Fonte: Tecmundo

Riscos à segurança dos e-mails de resposta automática

Antes de férias ou viagens de negócio, muitos funcionários configuram respostas automáticas de ausência no e-mail para que clientes e colegas saibam quem contatar em sua ausência. Normalmente, essas mensagens incluem a duração da viagem, informações de contato da pessoa que responsável pela substituição, e às vezes dados sobre projetos atuais.

Respostas automáticas podem parecer inofensivas, porém podem representar um risco corporativo. Se um colaborador não restringe a lista de destinatários, esse tipo de e-mail irá para qualquer pessoa que lhe direcione uma mensagem – e esse poderia ser um cibercriminoso ou spammers que conseguiu passar pelos filtros. A informação sobre a ausência poderia ser suficiente para a viabilização de um ataque direcionado.

Uma linha, um problemão

Nesse caso de spammers, a resposta automática permite saber que o endereço de e-mail é válido e pertence a uma pessoa específica. Informa-os do primeiro e último nome da pessoa, bem como seu cargo. A assinatura, às vezes, ainda contém um número de telefone;

Spammers normalmente lançam mensagens a endereços de uma base de dados gigantesca, que gradualmente se torna desatualizada e menos efetiva. Entretanto, quando uma pessoa real é detectada no outro lado da linha, os cibercriminosos a marcam como alvo viável e começam a mandar e-mails com mais frequência. Podem até ligar. Mas isso não é o pior.

Se a mensagem automática é enviada a um e-mail de phishing, a informação que fornece sobre o colaborador substituto, o que pode incluir nome, cargo, horário de trabalho e até telefone, pode ser usada para organizar um ataque de spear-phishing. O problema não afeta apenas grandes empresas. Na verdade, respostas automáticas são alvos fáceis, oferecem um tesouro de dados para engenharia social de diversos propósitos.

O que os cibercriminosos podem fazer

Imagine que o Pedro sai de férias, deixando informações muito detalhadas de contato na resposta automática. Por exemplo: estarei fora do escritório até 27 de março. Para questões relacionadas ao Projeto Camomile, por favor, entre em contato com a Tatiana (e-mail e telefone). O redesign Medusa está sob a responsabilidade do André (e-mail e telefone).

Agora, André recebe uma mensagem que parece ser do diretor da Medusa LLC. Referindo-se a uma discussão anterior com Pedro, o cibercriminoso pede a André que avalie uma proposta de interface anterior. Nessa situação, André provavelmente abrirá o anexo no e-mail, colocando seu computador sob risco de infecção.

Além disso, cibercriminosos podem conseguir informações confidenciais por uma troca de e-mail, referindo-se a um colaborador ausente e seu suposto trabalho anterior juntos. Quanto mais sabem sobre a empresa, mais convincentes serão, tornando o substituto mais suscetível a repassar documentos internos e segredos comerciais.

O que fazer

Para prevenir dores de cabeça relacionadas às respostas automáticas, uma política sensível sobre mensagens de ausência é necessária:

  • Determine quais colaboradores realmente precisam delas. Se um funcionário lida com poucos clientes, pode notificá-los diretamente de sua ausência, seja por e-mail ou telefonema;
  • Para colaboradores cujas tarefas estão sendo cobertas por apenas uma pessoa, faz sentido utilizar redirecionamentos. Claro, nem sempre é conveniente, mas garante que mensagens importantes não sejam perdidas;
  • Recomenda-se que colaboradores criem duas opções de resposta automática – uma para endereços internos e outra para externos. Informações mais detalhadas aos colegas, enquanto, as pessoas de fora devem saber o mínimo possível;
  • Se um colaboradores corresponde-se com colegas apenas, elimine a ideia de respostas automáticas para endereços externos.
    Em qualquer caso, aconselhe funcionários quanto ao fato de que essas mensagens não devem possuir informações supérfluas;
  • Nomes de linhas de produtos ou clientes, número de telefones de colegas, informações sobre onde e quando colaboradores estarão de férias, e outros detalhes do tipo;
  • No servidor de e-mail, use uma solução de segurança que detecta automaticamente spam e tentativas de phishing, e verifica anexos em busca de malware ao mesmo tempo.
Fonte: Kaspersky