.
Os alunos da Universidade da Califórnia em Santa Cruz (UCSC) podem ficar aliviados ao saber que um alerta por e-mail sobre um membro da equipe infectado pelo vírus Ebola foi apenas uma tentativa de phishing.
A mensagem, intitulada “Notificação de emergência: caso do vírus Ebola no campus”, foi enviada à comunidade universitária no domingo, 18 de agosto. Ela começava assim: “Lamentamos informar que um membro de nossa equipe, que retornou recentemente da África do Sul, testou positivo para o vírus Ebola”.
A mensagem prosseguiu dizendo que a universidade iniciou um protocolo de rastreamento de contatos e pede aos destinatários da mensagem que “façam login na página de informações de acesso para obter mais detalhes” — a mesma atividade que as mensagens de phishing tentam incentivar para capturar credenciais de login.
O ataque simulado foi semelhante a uma mensagem de phishing real enviada em 1º de agosto de 2024, conforme mostrado no UCSC Phish Bowl, uma coleção de tentativas de phishing reais e de teste.
Mas o e-mail enviado no domingo tinha como objetivo conscientizar sobre phishing, e não roubar informações.
Nisso, teve sucesso. A mensagem levou o UCSC Student Health Center a publicar um aviso sobre um “e-mail de phishing com informações enganosas sobre saúde”.
Na segunda-feira, Brian Hall, diretor de segurança da informação da UCSC, enviou um pedido de desculpas à comunidade universitária.
“O conteúdo do e-mail não era real e era inapropriado, pois causou pânico desnecessário, potencialmente minando a confiança nas mensagens de saúde pública”, disse sua missiva. “Pedimos sinceras desculpas por esse descuido.”
“E-mails de treinamento de phishing simulado têm como objetivo ajudar as pessoas a reconhecer e evitar tentativas reais de phishing, fortalecendo, em última análise, nossa segurança geral. No entanto, percebemos que o tópico escolhido para esta simulação causou preocupação e, inadvertidamente, perpetuou informações prejudiciais sobre a África do Sul.”
A última infecção por Ebola relatada e detectada na África do Sul ocorreu em 1996, de acordo com os Centros de Controle e Prevenção de Doenças dos EUA. Em 2014, durante o que é chamado de surto de Ebola na África Ocidental, 11 pessoas foram tratadas para Ebola nos EUA, a maioria das quais havia sido evacuada medicamente de outros países. Duas enfermeiras dos EUA contraíram a doença tratando de outros pacientes e ambas se recuperaram.
“A UC Santa Cruz está focada em proteger alunos, professores e funcionários de e-mails maliciosos e outras ameaças online”, disse o vice-reitor assistente Scott Hernandez-Jason em um e-mail para O Registro. “Além do treinamento regular de segurança cibernética para nossos funcionários, nosso campus realiza periodicamente campanhas simuladas de phishing para lembrar professores e funcionários sobre como reconhecer e lidar com e-mails suspeitos.
“O e-mail foi enviado a funcionários estudantes, corpo docente e equipe, e depois que foi enviado, identificamos várias preocupações sobre o conteúdo da mensagem. Conforme compartilhamos com nossa comunidade do campus, estamos trabalhando para evitar que isso aconteça novamente.”
Em uma postagem de blog no ano passado, o pesquisador de segurança cibernética Marcus Hutchins aconselhou cuidado ao simular ataques de phishing. “Simulações de phishing correm um risco muito alto de criar desconfiança e atrito entre seus funcionários e a equipe de segurança”, ele escreveu.
Vários meses atrás, o engenheiro de segurança do Google Matt Linton fez uma observação semelhante, argumentando que “o setor de segurança da informação deve adotar um treinamento que não enfatize surpresas e truques e, em vez disso, priorize o treinamento preciso sobre o que queremos que a equipe faça no momento em que detectar um e-mail de phishing, com foco específico em reconhecer e relatar a ameaça de phishing”. ®
.
