O que você faz se um executivo de sua empresa pede para transferir dinheiro para uma despesa empresarial. Por email?
Em um mundo onde os cibercriminosos inventam esquemas de engenharia social e de invasão de computadores enganando os funcionários para que transfiram dinheiro, as grandes empresas correm um sério risco de sofrerem golpes por email. Essa ameaça global emergente é conhecida como comprometimento de email empresarial (business email compromise ou BEC) e mais de 8.179 empresas em 79 países já foram vítimas, só entre outubro de 2013 e agosto de 2015.
Os golpes BEC geram uma receita considerável para os cibercriminosos. Vários alertas foram emitidos pelo FBI para esses tipos de email só no ano passado. O FBI observa que os alvos são empresas que trabalham com fornecedores estrangeiros e/ou as que regularmente realizam pagamentos por transferências bancárias. Até fevereiro do ano passado, o número total de vítimas relatadas chegou a 2.126 e a perda em dinheiro chegou a cerca de US$ 215 milhões de dólares. Chegando a agosto, o número de vítimas aumentou para 8.179 e o dinheiro perdido a quase US$ 800 milhões.
Como você pode proteger sua empresa para evitar que ela se torne parte dessa estatística?
Saiba o básico
Em maio de 2014, um contador de uma indústria do Texas recebeu um email de uma fonte familiar, o CEO de sua empresa. O email dava instruções para que ele esperasse uma chamada de uma empresa parceira e avisava para não compartilhar o email com mais ninguém com receio de problemas com a regulamentação. A empresa acabou perdendo US$ 480.000 em transferências para os fraudadores.
Essa versão do golpe é apenas das três versões conhecidas do BEC: o golpe da “fatura falsa” ou “embuste do fornecedor”, a “fraude do CEO/executivo da empresa”, e o abuso de contas invadidas para solicitar pagamentos de faturas enviadas para contas bancárias de cibercriminosos.
Pelo que sabemos, os golpistas BEC geralmente procuram por emails empresariais disponíveis online. Não são mais apenas os profissionais de marketing ou clientes de empresas que vasculham a web para encontrar endereços de “info.”, “admin.” ou “vendas”, ou endereços de executivos da empresa. Bilhões de endereços de email estão disponíveis publicamente na Internet e também informações de funcionários são publicadas na mídia social e em sites da empresa facilitando para os golpistas BEC encontrarem alvos fáceis de falsificar.
Conheça os golpes do passado
Em 2014, os cibercriminosos usaram uma ferramenta Email Spider para caçar endereços de email comumente listados em sites corporativos. Eles usaram palavras chaves específicas para encontrar possíveis alvos para quem enviaram emails de engenharia social, disfarçados de transações empresariais com anexos críticos. Só que os anexos eram na verdade keyloggers feitos para roubar informações do sistema, keytrokes, e também informações do cache do navegador como senhas e nomes de usuários.
A captura de tela abaixo exibe a versão “fatura falsa” ou “embuste do fornecedor” dos golpes BEC, usadas pelos operadores do Predator Pain and Limitless:
Figura 1. Exemplo de emails dos operadores do Predator Pain and Limitless
Porém, nem todas as engenharias sociais relacionadas ao BEC baixam imediatamente anexos de malware. Investigando o modus operandi de dois cibercriminosos nigerianos que usaram o malware disponível no mercado, HawkEye, notamos uma ameaça emergente: a trapaça longa.
Os cibercriminosos enviaram consultas simples e trocaram algumas mensagens com seus alvos. Assim que o alvo supõe que está trabalhando em uma transação empresarial, os cibercriminosos enviam um email para plantar um keylogger na máquina do alvo.
Figura 2. Exemplo de email usado pelos operadores do HawkEye para primeiro estabelecer a legitimidade antes de enviar malware
Afinal das contas, as ameaças BEC são oportunidades de negócios para os cibercriminosos. Usar a trapaça longa é simplesmente um meio para completar um abominável projeto de espionagem cibernética. Tendo como alvos empresas com muito dinheiro, com os endereços de email prontamente disponíveis online, ferramentas de garimpagem como Email Spider e spyware como o HawkEye, os cibercriminosos estão equipados para enviar ameaças BEC para empresas de todos os tamanhos.
Acelerando contra as ameaças BEC
Tomadores de decisão devem pensar em acrescentar o processo de verificação em duas etapas quando se trata de movimentar as finanças ou recursos de empresa, tais como canais de comunicação alternativos ou assinaturas digitais. Você também deve constantemente atualizar os funcionários sobre o surgimento de novos golpes descobertos pelos pesquisadores de segurança e/ou agências governamentais.
Todos os funcionários (não apenas os gerentes de TI) precisam estar familiarizados com esquemas usados para enviar ameaças de BEC. Fique protegido seguindo hábitos saudáveis de email como verificar cuidadosamente os emails, confirmar com um ponto de contato por outros canais, antes de enviar pagamentos de faturas e apague imediatamente mensagens de spam. O FBI também recomendou usar a função “Encaminhar” em vez de “Responder” para que você possa digitar o endereço de email de seu contato e garantir que o endereço correto está sendo usado.
Os gerentes de TI podem instalar soluções de segurança para bloquear malware realcionado a BEC antes que eles cheguem.
O InterScan Messaging Security Virtual Appliance com proteção aprimorada contra ataques de engenharia social fornece proteção contra emails de engenharia social usados nos ataques BEC. Além disso, o Deep Discovery Analyzer encontrado na família de soluções de Defesa Personalizada da Trend Micro ajuda a detectar malware avançado e outras ameaças que chegam por email. Uma segurança aprimorada juntamente com um pouco de malícia quando se trata de lidar com emails, pode ajudar a impedir e detectar ataques cibercriminosos que usam a ameaça BEC.
