A Internet se tornou o motor da interação entre empresas e clientes, sendo que o e-mail continua sendo a ferramenta mais popular para a comunicação formal de negócios. Infelizmente, é também a maneira mais frágil de trocar mensagens e dados confidenciais. O e-mail é propenso a ataques de phishing e spam, sendo que o Business Email Compromise (BEC) causa grandes perdas financeiras e danos à reputação.
Estamos em meio a uma transição digital e tecnológica que perturba as economias e muda a própria estrutura da sociedade. Os últimos desenvolvimentos em Inteligência Artificial e os desafios pós-pandemia levam as empresas a aprimorar sua presença on-line e a buscar novas oportunidades em áreas desconhecidas. Ao mesmo tempo, os criminosos cibernéticos estão planejando novos esquemas para perpetrar golpes devastadores e retardar o progresso.
Este artigo aborda a fraude BEC e fornece dicas sobre como proteger sua empresa contra ataques cibernéticos. Vamos nos aprofundar no assunto!
Índice
- O que é um comprometimento de e-mail comercial?
- Como funcionam os ataques de BEC?
- Exemplos de comprometimento de e-mail comercial
- Quem é o alvo mais frequente dos e-mails do tipo ataque BEC?
- Quais são os tipos de golpes de comprometimento de e-mail comercial?
- O que torna um ataque de BEC diferente de um e-mail de phishing típico?
- Por que é importante evitar o comprometimento de e-mails comerciais?
- Como evitar o comprometimento de e-mails comerciais?
- O que fazer se você caiu em um golpe de BEC?
- Estatísticas de comprometimento de e-mail comercial
O que é um comprometimento de e-mail comercial?
O comprometimento de e-mail comercial é um tipo de ataque cibernético em que os fraudadores se fazem passar por um executivo ou funcionário da empresa para induzir os indivíduos de uma organização a realizar ações que beneficiem o atacante. Os ataques de BEC geralmente envolvem comunicações por e-mail e podem levar a perdas financeiras significativas para as empresas.
Como funcionam os ataques de BEC?
O invasor começa coletando informações sobre a organização-alvo, como nomes de funcionários, cargos e endereços de e-mail, por vários meios, inclusive engenharia social, sites públicos ou roubo de dados.
Em seguida, o invasor falsifica ou se faz passar por uma conta de e-mail legítima dentro da organização, como um executivo de alto nível ou um CEO. Eles geralmente criam um endereço de e-mail semelhante ao genuíno, usando pequenas variações ou erros de ortografia que os destinatários podem ignorar.
Além disso, os atacantes usam técnicas de engenharia social para manipular a vítima para que ela tome a ação desejada. Eles podem explorar a confiança, a autoridade ou a urgência do destinatário para aumentar as chances de sucesso. Por exemplo, o invasor pode alegar ser o CEO solicitando uma transferência eletrônica urgente para uma conta bancária fraudulenta específica para uma transação comercial urgente.
Um dos truques mais antigos, porém mais eficientes, dos fraudadores é semear o engano e a urgência na mente do alvo. Eles podem usar frases como “confidencial”, “urgente” ou “estritamente confidencial” para aumentar a credibilidade e pressionar o destinatário a ignorar os procedimentos de segurança padrão.
Os funcionários com acesso a informações financeiras ou com autoridade para iniciar transações são especialmente propensos a golpes de comprometimento de e-mail comercial. Podem ser indivíduos dos departamentos financeiro ou contábil ou funcionários responsáveis pelo gerenciamento de relacionamentos com fornecedores. O objetivo é convencê-los a transferir fundos, divulgar informações confidenciais ou alterar as instruções de pagamento.
Exemplos de comprometimento de e-mail comercial
Os ataques de comprometimento de e-mail comercial são implacáveis. Seja você uma empresa local ou uma grande corporação internacional, ninguém está a salvo do próximo grande ataque, a menos que todas as medidas preventivas e a conscientização sobre segurança cibernética estejam sob controle. No entanto, faz parte da natureza humana confiar uns nos outros, e os exemplos abaixo ilustram isso perfeitamente:
Fiasco do Facebook e do Google
Sem dúvida, no mais retumbante ataque de engenharia social de todos os tempos, Evaldas Rimasauskas e seus associados persuadiram os funcionários do Google e do Facebook a pagar faturas de produtos e serviços que o fabricante realmente forneceu a uma conta falsa , fraudando as grandes empresas de tecnologia em mais de US$ 100 milhões.
Se os golpes de BEC podem ocorrer nesse nível, imagine o quanto é suscetível o restante do cenário de negócios em que os funcionários não têm consciência e vigilância sobre a segurança cibernética. Os custos e danos resultantes de ataques de BEC chegam a bilhões em um ano civil.
Toyota entra para o clube das vítimas do BEC
Em 2019, a Toyota, um nome conhecido no setor automotivo, foi vítima de um ataque de comprometimento de e-mail comercial de US$ 37 milhões. Esse incidente destacou a vulnerabilidade que até mesmo as grandes empresas enfrentam quando se trata de ameaças cibernéticas.
Apesar da quantia substancial envolvida, os criminosos conseguiram enganar um funcionário da subsidiária europeia da Toyota, transferindo os fundos sem serem detectados. Os críticos argumentam que a Toyota, devido ao seu tamanho e influência, deveria ter sido mais vigilante ao reconhecer os sinais dessa fraude generalizada.
Governo de Porto Rico transfere milhões para golpistas
Depois de um forte terremoto de magnitude 6,4 que atingiu Porto Rico no início de 2020, o governo porto-riquenho foi vítima de um golpe astuto de BEC, o que fez com que o país se recuperasse das consequências.
O protagonista desse infeliz incidente foi Rubén Rivera, diretor financeiro da Industrial Development Company de Porto Rico. Inadvertidamente, ele transferiu mais de US$ 2,6 milhões para uma conta bancária fraudulenta.
O esquema foi desvendado por meio de um e-mail que chegou à caixa de entrada de Rivera, supostamente informando-o de uma alteração na conta bancária associada aos pagamentos de remessas. O que tornou esse e-mail particularmente insidioso foi sua origem: a conta de e-mail comprometida de um funcionário do Puerto Rico Employment Retirement System. Sem o conhecimento de Rivera, essa mensagem aparentemente inócua não passava de um ardil habilmente elaborado pelos golpistas.
Três funcionários foram suspensos enquanto aguardavam uma investigação mais aprofundada sobre seu possível envolvimento. Felizmente, o FBI prontamente congelou os ganhos ilícitos, inclusive os fundos de pensão públicos.
Quem é o alvo mais frequente dos e-mails do tipo ataque BEC?
Os ataques de BEC geralmente têm como alvo indivíduos ou organizações envolvidos em transações financeiras. Os alvos principais geralmente são contadores, diretores financeiros ou pessoal da folha de pagamento.
Os atacantes de BEC geralmente se fazem passar por CEOs, CFOs ou executivos de alto escalão para explorar sua autoridade e influência. Eles visam esses indivíduos porque geralmente têm acesso aos fundos da empresa e podem autorizar transações significativas.
Os funcionários envolvidos em atividades de compras ou aquisições, como diretores de compras ou compradores, também são vítimas fáceis e frequentes, pois os golpistas geralmente fingem ser fornecedores solicitando transferências de fundos. A equipe de RH também é vulnerável a golpes de BEC, pois armazena informações confidenciais de funcionários, inclusive números de previdência social, detalhes de contas bancárias ou dados pessoais.
Por fim, um golpe de comprometimento de e-mail comercial pode ter como alvo os administradores de TI para obter acesso não autorizado a contas de e-mail ou colocar em risco os sistemas internos. Ao comprometer essas contas, eles podem monitorar as comunicações, interceptar informações confidenciais ou enviar e-mails fraudulentos de fontes confiáveis.
Os ataques de BEC são altamente adaptáveis, e os atacantes evoluem continuamente suas táticas. Qualquer pessoa com acesso a recursos financeiros ou dados valiosos em uma organização pode se tornar um alvo. Como resultado, a proteção contra o comprometimento de e-mails comerciais deve ser uma das principais prioridades de todas as organizações, independentemente de seu tamanho e nicho.
Quais são os tipos de golpes de comprometimento de e-mail comercial?
Os golpes de BEC abrangem várias táticas que os atacantes usam para enganar indivíduos e organizações. Aqui estão alguns tipos comuns de golpes de BEC:
- Fraude do CEO: Nesse golpe, o invasor se faz passar por um executivo de alto nível, geralmente o CEO ou outro executivo com autoridade, e envia um e-mail a um funcionário instruindo-o a fazer um pagamento urgente ou transferir fundos para uma conta específica. O e-mail parece legítimo, geralmente incluindo o nome do executivo, sua assinatura e informações pessoais obtidas por meio de engenharia social.
- Esquema de faturas falsas: Os fraudadores têm como alvo empresas envolvidas em transações regulares com fornecedores ou vendedores. Eles interceptam faturas legítimas e modificam as informações da conta bancária, redirecionando os pagamentos para suas contas bancárias fraudulentas. As faturas alteradas geralmente parecem idênticas às originais, o que dificulta a detecção.
- Representação de advogado: Aqui, os golpistas se fazem passar por advogados ou representantes legais. Eles enviam e-mails para pessoas envolvidas em transações comerciais, ações judiciais, fusões e aquisições. Os e-mails normalmente alegam que um assunto confidencial requer atenção urgente, como uma transferência de fundos para uma conta designada controlada para liquidação ou taxas legais.
- Falsificação de identidade de funcionário: Os atacantes fingem ser um funcionário de uma organização e enviam e-mails solicitando informações confidenciais, como registros de funcionários, formulários W-2 ou dados financeiros. Eles podem se passar por pessoal de RH, funcionários da folha de pagamento ou colegas.
- Comprometimento de conta: nesse cenário, os invasores obtêm acesso não autorizado à conta de e-mail de um funcionário. Eles o monitoram para coletar informações, identificar transações financeiras em andamento e, em seguida, enviar e-mails fraudulentos para redirecionar fundos ou alterar instruções de pagamento.
O que torna um ataque de BEC diferente de um e-mail de phishing típico?
O comprometimento de e-mail comercial versus phishing tem muitas semelhanças. Tanto os e-mails de phishing quanto os ataques de BEC envolvem e-mails enganosos. Um ataque típico de phishing visa enganar as pessoas para que revelem informações pessoais, enquanto um ataque de BEC tem como alvo as empresas e tenta enganar os funcionários para que tomem medidas que beneficiem os criminosos cibernéticos.
Os ataques de BEC são mais sofisticados. Em um ataque de BEC, os criminosos cibernéticos tentam se passar por alguém da organização, como um CEO, um gerente ou um fornecedor confiável, para enganar os funcionários e fazê-los realizar transferências eletrônicas para contas fraudulentas, compartilhar informações confidenciais da empresa ou até mesmo alterar detalhes da conta.
Por que é importante evitar o comprometimento de e-mails comerciais?
Os ataques de BEC podem resultar em perdas financeiras substanciais para as organizações. Os atacantes geralmente se fazem passar por executivos de alto nível ou parceiros comerciais confiáveis, enganando os funcionários para que iniciem transferências eletrônicas ou divulguem informações financeiras confidenciais.
Além disso, os golpes de BEC podem prejudicar a reputação de uma empresa. Se os clientes, parceiros ou partes interessadas souberem que uma organização não possui medidas de segurança e conscientização adequadas, isso pode diminuir a confiança na capacidade da empresa de proteger informações confidenciais. Essa perda de reputação pode levar à diminuição da fidelidade do cliente, à redução das oportunidades de negócios e à dificuldade de atrair novos clientes.
Os ataques de BEC também podem expor dados confidenciais e informações pessoais, levando a graves consequências legais e regulamentares. As violações de informações de identificação pessoal (PII) podem levar a ações judiciais, penalidades financeiras e danos aos indivíduos afetados pela violação. A prevenção do comprometimento de e-mails comerciais ajuda as organizações a minimizar o risco de roubo de dados e a manter o compromisso de proteger a privacidade dos clientes.
Como evitar o comprometimento de e-mails comerciais?
Como você pode ver, os ataques de BEC estão varrendo o mundo com frequência cada vez maior, portanto, é imperativo identificá-los desde o início. Aqui estão cinco soluções eficientes de comprometimento de e-mail comercial que evitarão ataques futuros.
1. Conheça seu inimigo e seus esquemas
Os criminosos parecem gênios quando realizam um grande golpe, mas os funcionários descuidados devem receber todo o crédito. A maioria dos BECs depende das mesmas táticas e manipulações subjacentes, portanto, detectá-los deve ser algo natural depois de aprender as estratégias comuns de BEC.
O maior sinal de alerta é um falso senso de urgência. Os atacantes, geralmente se passando por executivos, supervisores ou contadores-chefes, solicitam pagamentos de faturas enviando e-mails falsos às vítimas e pedindo que transfiram dinheiro para fechar um negócio. Aqui está um exemplo clássico:
Oi, Ben,
Estou me reunindo agora mesmo com [Company Name]. Parece que nossa última fatura foi para a conta antiga deles. Se você não tiver os detalhes da nova conta, eu os fornecerei abaixo. Por favor, pague AGORA, para que eu possa dizer a eles que está feito.
Número da conta: 94567868900
Código de classificação: 45-20-30 Obrigado!
Andrew, CAO do site [Your Company Name].
Parece bastante convincente, certo? Mas o que os denuncia é o nome de domínio errado. Você deve sempre verificar o endereço do remetente antes de responder e enviar dinheiro. À primeira vista, a mensagem vem de um domínio confiável, mas é ligeiramente alterada para pegá-lo desprevenido. Portanto, em vez de @microsoft.com, o endereço falso poderia ser @micr0soft.com ou @microsott.com.
Outra tática comum de BEC é a personificação do fornecedor. Isso envolve golpistas que falsificam um dos fornecedores da empresa. Esse ataque é mais complicado porque os detalhes do remetente estão corretos e a transação parece legítima. A má notícia é que os golpistas invadiram a conta de e-mail do vendedor. A boa notícia é que você pode evitar fraudes verificando duas vezes o número da conta do fornecedor, pois ele será diferente do habitual. Se algo parecer estranho, entre em contato com a empresa por telefone e peça que ela confirme a transação.
2. Eduque seus funcionários para identificar ataques de Bec
Sem o treinamento adequado sobre conscientização de segurança cibernética e golpes de BEC, você será vítima deles mais cedo ou mais tarde. Os funcionários devem desenvolver um forte conhecimento sobre e-mails de phishing e estar totalmente cientes dos enormes riscos e implicações desses ataques. Realize simulações regulares de phishing e lembre os funcionários de verificar a autenticidade dos e-mails, especialmente daqueles que são suspeitos. Aqui está o que eles devem prestar atenção:
- O tom da mensagem. Se for urgente, eles devem dar um passo atrás e inspecionar cuidadosamente o endereço de e-mail e o conteúdo.
- As informações do remetente não correspondem ao endereço de e-mail.
- Erros de ortografia, erros de digitação e gramática ruim.
- Links e anexos não solicitados.
3. Use senhas fortes e ative a autenticação de dois fatores
Uma política de senhas garante que todos os usuários usem senhas fortes (ou seja, pelo menos 12 caracteres com letras maiúsculas e minúsculas, números e caracteres especiais). A autenticação de dois fatores (2FA) é uma camada adicional de segurança para impedir o acesso não autorizado a uma conta de e-mail se a senha tiver sido comprometida.
4. Obter informações técnicas. Proteja seus e-mails com medidas antifraude
Uma das maneiras mais eficientes de se proteger contra ataques de e-mail é instalar umgateway de e-mail seguro (SEG). Esse dispositivo ou software monitora a atividade de e-mail e impede que spam, malware e vírus cheguem à sua caixa de entrada. O SEG também pode detectar e bloquear domínios de phishing, e você pode adicionar palavras-chave comuns usadas em BECs e sinalizá-las como suspeitas.
Outra medida de segurança é usar métodos de autenticação de e-mail, como SPF, DKIM e DMARC.
- Com o Sender Policy Framework (SPF), você pode adicionar um registro DNS para autorizar os endereços IP que podem enviar e-mails em nome do seu domínio.
- DKIM significa DomainKeys Identified Mail (Correio Identificado por Chaves de Domínio ) e funciona com o SPF para detectar e-mails falsos. O DKIM assina seus e-mails enviados para que os destinatários possam verificar sua legitimidade.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance). O DMARC usa os protocolos de autenticação SPF e DKIM para verificar os e-mails enviados do domínio da organização.
5. Criptografar e-mails e documentos com um certificado S/MMIME
Os certificados de e-mail seguem o padrão S/MIME (Secure/Multipurpose Internet Mail Extensions) e fornecem autenticação e integridade.
O S/MIME permite a criptografia de ponta a ponta para todos os e-mails enviados e bloqueia tentativas de falsificação de e-mail, confirmando a identidade do remetente e garantindo que o conteúdo da mensagem não tenha sido alterado.
Com o S/MIME, a transmissão não fica mais em texto simples e vulnerável a ataques do tipo man-in-the-middle. O melhor de tudo é que os certificados S/MIME são compatíveis com os clientes de e-mail modernos e estão em conformidade com o FDA ESG. Você pode obter um certificado S/MIME no SSL Dragon. Temos opções para pessoas físicas e empresas de todos os portes.
O que fazer se você caiu em um golpe de BEC?
Ah, não, você acha que pode ter respondido a um e-mail do BEC. Não entre em pânico ainda! Veja o que você deve fazer:
- Se a sua empresa tiver protocolos de segurança de BEC, siga-os de acordo com suas diretrizes de treinamento.
- Notifique seu departamento de TI imediatamente.
- Entre em contato com seu banco e solicite a suspensão de todas as transações
- Analise os extratos de sua conta para verificar se há alguma atividade suspeita.
- Relate o incidente às autoridades competentes. Nos Estados Unidos, entre em contato com o escritório local do FBI para denunciar o crime.
Estatísticas de comprometimento de e-mail comercial
Aqui estão algumas estatísticas que farão você se arrepiar:
- Em 2022, o FBI registrou um total de 21.832 reclamações relacionadas ao BEC, resultando em perdas estimadas em mais de US$ 2,7 bilhões.
- As perdas globais expostas da fraude de BEC registraram um aumento significativo de 65% em comparação com o período anterior.
- Apenas 2,1% dos ataques conhecidos são relatados à equipe de segurança pelos funcionários
- 65% das organizações enfrentaram ataques de BEC em 2020
- Das violações de engenharia social, o pretexto foi responsável por 27%, sendo que a maioria desses incidentes foi atribuída a ataques de BEC
- Um em cada cinco funcionários cai em golpes de phishing e responde a e-mails suspeitos.
- O golpe mais comum de BEC é uma fraude de fatura ou pagamento.
- O valor médio solicitado em ataques de BEC por transferência eletrônica foi de US$ 72.000, enquanto a perda máxima chegou a US$ 999.600 em 2021.
Considerações finais
Os golpes de comprometimento de e-mail comercial continuarão existindo enquanto a Internet existir. O principal motivo pelo qual eles são tão bem-sucedidos é que a natureza humana é propensa a manipulações e táticas secretas. Os BECs são mais psicológicos do que técnicos. Eles seguem um plano comprovado que se baseia fortemente em descuido, submissão à autoridade e falta de conscientização sobre segurança cibernética.
Mostramos a você como identificar e evitar golpes de BEC antes que seja tarde demais. Agora é sua vez de agir e implementá-las para a segurança geral do e-mail sempre que abrir uma nova mensagem.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
