O e-mail chegou como qualquer outro, desde o diretor executivo da empresa até o diretor financeiro.
“Ei, o negócio está feito. Por favor, deposite US $ 8 milhões nesta conta para finalizar a aquisição o mais rápido possível. Precisa ser feito antes do final do dia. Obrigado.”
O empregado não pensou em nada e enviou os fundos, marcando em sua lista de tarefas feitas antes de voltar para casa.
Mas os alarmes começaram a tocar quando a empresa que estava sendo comprada ligou para perguntar por que não havia recebido o dinheiro.
Uma investigação começou – US $ 8 milhões foram definitivamente enviados, mas para onde?
Nós nunca saberemos.
Parte do dinheiro foi recuperada pelos bancos, mas a maioria foi perdida para hackers que podem sacar usando uma elaborada rede de lavagem de dinheiro ou simplesmente passar para a próxima vítima.
Enquanto isso, o diretor financeiro fica se sentindo péssimo e a empresa pensa no que fazer em desespero.
Afinal, o e-mail vinha aparentemente do endereço do chefe e sua conta não havia sido invadida.
Foi deixado para os especialistas em segurança cibernética dar as más notícias à empresa: os e-mails não são confiáveis.
CEO Fraude
Este é um exemplo real de um ataque cibernético conhecido como Comprometimento de E-mail Comercial, ou Fraude do CEO.
Os ataques são de baixa tecnologia e dependem mais de engenharia social e truques do que os hackers tradicionais.
Os cibercriminosos simplesmente falsificam o endereço de e-mail de um executivo da empresa e enviam uma solicitação convincente a um funcionário inocente.
A mensagem parece ter vindo do chefe – mas foi enviada por um impostor.
Geralmente, há um senso de urgência na ordem, e o funcionário simplesmente faz o que é solicitado – talvez enviando grandes quantias de dinheiro aos criminosos por engano.
Esses golpes estão em alta e, de acordo com o FBI nos EUA, resultaram em perdas mundiais de pelo menos US $ 26 bilhões desde 2016.
No início deste mês, 281 suspeitos de hackers foram presos em 10 países diferentes, como parte de uma operação maciça de remoção de redes globais de crimes cibernéticos com base nos golpes.
Ryan Kalember, vice-presidente executivo de estratégia de cibersegurança da Proofpoint, disse: “O comprometimento do e-mail comercial (BEC – Business Email Compromise ) é o problema mais caro em toda a cibersegurança. Não existe uma única outra forma de crime cibernético que tenha o mesmo grau de escopo em termos de dinheiro perdido “.
A Proofpoint foi escolhida para lidar com o incidente de fraude do CEO descrito neste artigo.
Kalember e sua equipe viram as táticas evoluírem durante o ano passado e têm algumas observações e avisos interessantes para possíveis vítimas.
Focando nos não executivos
Os alvos tradicionais para o ataque BEC são os números “C-suite” das principais empresas CEO, CFO, COO, CIO), como diretores executivos ou diretores financeiros.
Recentemente, porém, os criminosos estão buscando níveis mais baixos na hierarquia.
“As ‘pessoas muito atacadas’ que vemos agora raramente são VIPs. As vítimas tendem a ter e-mails facilmente pesquisáveis ou endereços compartilhados facilmente imagináveis.
“Os VIPs, em regra, tendem a ser menos expostos, já que as organizações geralmente fazem um bom trabalho ao proteger os endereços de email VIP agora”, acrescentou Kalember.
A tendência também foi notada pela empresa de cibersegurança Cofense.
Em alguns casos, os e-mails dos funcionários são falsificados e o invasor solicita aos departamentos de recursos humanos que enviem os salários da vítima para uma nova conta bancária.
“Um sistema de recompensa menor, mas muito mais amplo, será uma tentativa deliberada de voar abaixo do radar para atingir processos financeiros que provavelmente têm controles mais fracos, mas ainda produzem retornos atraentes”, disse Dave Mount, da Cofense.
Aviso de segunda-feira
Outro método visto com mais frequência são os e-mails fraudulentos enviados na segunda-feira de manhã.
Segundo a Proofpoint, mais de 30% dos e-mails do BEC são entregues às segundas-feiras, à medida que os hackers tentam capitalizar os atrasos nos finais de semana.
Eles esperam que o “jetlag social” signifique que os funcionários sejam mais facilmente enganados por e-mails falsos e outros truques de engenharia social.
“Os invasores sabem como as pessoas e os escritórios funcionam. Eles dependem de pessoas cometendo erros e têm muita experiência com o que funciona. Isso não é uma vulnerabilidade técnica, é sobre erro humano”, disse Kalember.
Avanço falso
Threads de email Tópicos de email) falsos fazem parte de outra técnica que evoluiu.
Os invasores iniciam as linhas de assunto de seus e-mails com “Re:” ou “Fwd:” para fazer parecer que a mensagem deles faz parte de uma conversa anterior.
Em alguns casos, eles até incluem um histórico de e-mail falso para estabelecer uma aparente legitimidade.
Segundo os pesquisadores, as tentativas de fraude que usam essa técnica aumentaram mais de 50% ano a ano.
Kalember diz que todas essas tendências seguem um padrão previsível com base em nosso próprio comportamento.
“Uma das razões pelas quais este é um problema particularmente difícil de eliminar é que ele depende do risco sistêmico de todos nós confiarmos no e-mail como meio de comunicação”, disse ele.
Infelizmente para empresas e funcionários inconscientes, é improvável que o BEC desapareça.
A falsificação de e-mail é tecnicamente muito simples e os serviços on-line gratuitos oferecem uma baixa barreira à entrada.
Mas há muitas coisas que as empresas e os funcionários podem fazer – incluindo estar atento e consciente dos ataques.
As empresas podem insistir na chamada verificação de dois fatores antes do envio de um pagamento.
Tudo isso, é claro, depende de pessoas dando um passo atrás do que muitas vezes é buscado no local de trabalho – velocidade e eficiência.
A Action Fraud e o National Fraud Intelligence Bureau (FNIB) do Reino Unido operam uma linha direta 24/7 no 0300 123 2040 para as empresas denunciarem ataques cibernéticos ao vivo.
Texto: BBC, UK/Joe Tidy. Gr
