Em nossa recente pesquisa, Piercing the HawkEye, descobrimos várias maneiras pelas quais os cibercriminosos conseguiram explorar informações que coletaram, monitorando as caixas de entrada das vítimas e roubando dinheiro das empresas. Um dos exemplos que compartilhamos, a fraude de “mudança de fornecedor”, foi uma das mais notáveis, já que esse golpe ficou conhecido pelos milhões de dólares roubados pelos criminosos. Nesta postagem, iremos detalhar os pormenores desse golpe específico, mostrando o que faz dele uma grande ameaça para pequenas empresas e usuários.
Escolhendo alvos
Nosso monitoramento desse tipo de golpe revelou que ele é mais direcionado e vai mais longe do que a média dos ataques. Os cibercriminosos frequentemente fazem uma “abordagem agressiva” ao implementar seus ataques – enviando seus emails elaborados para listas de emails que provavelmente foram compradas de outros cibercriminosos. Foi bastante diferente no caso que monitoramos porque os cibercriminosos visaram especificamente os endereços de emails disponíveis publicamente pelas pequenas empresas. Nossos dados revelaram que esses endereços de emails eram os endereços “oficiais” das empresas, normalmente formatados como info@ nome da empresa.com ou vendas@ nome da empresa.com.
Figura 1. Divisão por tipos de endereços de emails visados
Descobrimos que essa é uma estratégia interessante porque os endereços oficias das empresas frequentemente são posicionados para receber emails possivelmente não solicitados, de remetentes desconhecidos, dando uma vantagem aos cibercriminosos. Se a equipe administradora da conta de emails não for bastante experiente para identificar emails de engenharia social, provavelmente abrirá esses emails enviados pelos cibercriminosos.
Fazendo contato
A maneira pela qual os cibercriminosos fazem o contato inicial com seus alvos nesse golpe também é bem diferente dos que vemos frequentemente. Os cibercriminosos não enviam sua carga maliciosa imediatamente. Ao invés disso, enviam emails reais com o objetivo de envolver o alvo.
Figura 2. Exemplo de um email inicial, enviado por cibercriminosos para seus alvos
Em nossa pesquisa chamamos essa técnica de “The Long Con” porque ela se parece com um exemplo da vida real – o agressor aborda o alvo como se fosse uma entidade inofensiva e tenta ganhar a confiança do alvo. Depois de ganhar sua confiança, o agressor envia o arquivo malicioso (neste caso, o HawkEye) para o alvo sob o disfarce de um arquivo relacionado à conversa em andamento. No golpe que monitoramos, o cibercriminoso até mesmo usou os feriados para aumentar a urgência da solicitação.
Figura 3. Exemplo de um email com carga maliciosa enviado por cibercriminosos para seu alvo
Interceptação em tempo
Depois que a vítima é infectada com o HawkEye, o cibercriminoso pode monitorar as atividades do alvo e checar informações que pode aproveitar para realizar golpes. Como compartilhamos antes, o objetivo do agressor aqui é conseguir acesso à conta do email empresarial da vítima. Isso é feito para monitorar transações em andamento que eles possam sequestrar para realizar a fraude de “mudança de fornecedor”.
Os cibercriminosos acompanham as conversações em andamento onde pagamentos são discutidos, depois intercepta a conversa, dando informações de uma conta falsa para o cliente. Abaixo está uma captura de tela de um email desse tipo, capturada ao monitorar casos similares executados com o uso do Predator Pain, predecessor do HawkEye:
Figura 4. Exemplo de email onde o agressor desvia o pagamento para sua própria conta
Grande lucro
Apesar desse golpe parecer menos sofisticado do ponto de vista técnico, uma vez que só se aproveita das informações da vítima, não o torna menos perigoso para as empresas. Consultorias da IC3 sobre golpes semelhantes no ano passado revelaram que a perda média nesse tipo de golpe foi de $55.000 dólares, com algumas vítimas perdendo até $800.000. Se, por exemplo, o cibercriminoso consegue atacar múltiplos alvos em um determinado momento, é fácil supor que eles ganharam milhões de dólares realizando esse tipo de golpe.
Para ver nossa análise completa sobre esse golpe e as ferramentas que os cibercrimosos usaram para executá-lo, veja nosso estudo, Piercing the HawkEye: How Nigerian Cybercriminals Used a Simple Keylogger to Prey on SMBs.
Continue acompanhando nosso blog, confira as melhores dicas de segurança e saiba como se proteger na rede! Algum insight sobre essa postagem? Deixe seu comentário abaixo ou fale com a gente no twitter @TrendMicroBR.
Artigo publicado originalmente por Lord Alfred Remorin (Senior Threat Researcher) em TrendLabs.
