Business Email Compromise (BEC), também conhecido como fraude de CEO, é um tipo de ataque de phishing em que um cibercriminoso irá fazer-se passar por um Executivo de alto nível para convencer um empregado, cliente ou vendedor a transferir dinheiro para uma conta fraudulenta ou revelar informações sensíveis.
Ao comprometerem as contas de correio electrónico oficiais, os criminosos podem controlar a actividade online e determinar quem tem as credenciais para iniciar transferências de dinheiro. Na maioria dos casos, os atacantes fingem ser o CEO, CFO ou outro Executivo de nível C, e normalmente combinam uma série de técnicas de engenharia social para manipular o utilizador em acção.
Nos últimos anos, tem havido um aumento acentuado do número de ataques do Business Email Compromise, e de acordo com o último relatório de avaliação do risco de segurança do correio electrónico da empresa de gestão de correio electrónico Mimecast, os ataques BEC aumentaram em 80% só no último trimestre.
As perdas globais devidas ao Business Email Compromise ultrapassaram os 12,5 mil milhões de dólares, e as vítimas podem sofrer perdas substanciais, o que tem sido evidente numa série de ataques recentes de grande visibilidade.
Em Março de 2018, a cadeia de cinema francesa Pathé foi vítima de um sofisticado esquema de Business Email Compromise que lhes custou mais de 19 milhões de euros.
O audacioso assalto foi conseguido quando os autores da fraude se fizeram passar pelo CEO e convenceram o director-geral e o director financeiro do escritório holandês da marca a transferir os fundos através de uma série de cinco transferências de dinheiro consecutivas.
Apesar das suspeitas levantadas, os criminosos conseguiram fazer com que o seu esquema parecesse o mais convincente possível, criando emails que eram quase idênticos ao domínio oficial Pathé. A empresa perdeu 10% dos seus ganhos totais e ambos os Executivos foram despedidos dos seus empregos.
O ataque demonstrou a atenção aos detalhes que os criminosos informáticos irão utilizar para se infiltrarem numa empresa, e as consequências de longo alcance que um ataque BEC pode ter sobre um negócio.
Como funciona um esquema de compromisso de e-mail empresarial
Ao contrário dos ataques de phishing tradicionais que tendem a atingir um grande número de empregados, os ataques BEC são altamente concentrados e direccionados. Os criminosos passam muito tempo a pesquisar indivíduos em posições corporativas de alto nível antes de lançarem um ataque.
Para que qualquer correspondência pareça o mais convincente possível, os vigaristas irão pesquisar websites de empresas, fontes em linha, e sites de meios de comunicação social como o LinkedIn para recolher o máximo de informação possível sobre a sua potencial vítima.
Assim que tiverem concluído a sua investigação, utilizarão uma técnica específica como o Spear Phishing para obterem acesso aos sistemas corporativos. Uma vez que tenham acesso, os criminosos podem observar atentamente como são feitas as transacções financeiras antes de lançarem um ataque.
O criminoso enviará então um falso e-mail do que parece ser o CEO solicitando uma transferência de fundos urgente de um funcionário dentro da organização. O direccionamento de alto nível ajuda o correio electrónico a passar por filtros de spam, e a utilização de um endereço de correio electrónico falso acrescenta mais legitimidade ao pedido.
Tal é o nível de detalhe, que os criminosos optarão frequentemente por lançar o seu ataque quando o Executivo Sénior está fora em negócios e não podem verificar pessoalmente o pedido. Se a vítima tiver caído no esquema, qualquer dinheiro que tenha transferido será rapidamente enviado para contas localizadas no estrangeiro, o que torna difícil recuperar alguma vez o dinheiro roubado.
Tipos de esquemas de compromisso de e-mail de negócios
Fraude do CEO - Neste tipo de ataque, os cibercriminosos passarão a ser o CEO ou outro executivo sénior de alto nível. Uma vez que a sua conta tenha sido pirateada, e o seu endereço de correio electrónico falso, eles enviarão um correio electrónico a um funcionário solicitando uma transferência de fundos para uma conta que tenham especificamente criado. As mensagens de correio electrónico serão frequentemente assinaladas com carácter de urgência para desencorajar o funcionário de verificar o pedido ou discuti-lo com outro membro do pessoal.
O Esquema de Facturação Falsa - Este esquema específico é frequentemente aproveitado contra empresas que utilizam muitos fornecedores estrangeiros. A empresa receberá um e-mail do que parece ser um dos seus actuais fornecedores pedindo-lhes que alterem o destino do pagamento. Quaisquer pagamentos serão então transferidos directamente para a conta dos fraudadores.
Compromisso de Conta - Este tipo de ataque tende a ser mais comum entre empresas mais pequenas, onde qualquer facturação é gerida directamente através de correio electrónico. Os cibercriminosos invadem a conta de email de um empregado e interceptam quaisquer emails que contenham uma factura. Uma vez escolhido o seu alvo, contactarão o vendedor e informá-lo-ão de que houve um problema com o seu pagamento e solicitarão que o reenviem para outra conta fraudulenta que tenham criado.
Impersonificação de Advogado / Advogado - Neste esquema, os criminosos farão-se passar por uma firma de advogados de uma empresa e solicitarão a transferência urgente de fundos para lidar com uma disputa legal ou factura não paga. O funcionário é informado de que o assunto é estritamente confidencial para reduzir a possibilidade de eles discutirem o pedido com qualquer outra pessoa. Os ataques terão frequentemente lugar no final da semana de trabalho para criar uma pressão adicional sobre o empregado para agir rapidamente.
Roubo de dados - Este é o único esquema de BEC que não solicita uma transferência bancária directa. Os ataques de roubo de dados ocorrem quando um cibercriminoso compromete a conta de e-mail de um Executivo Sénior e solicita que lhes sejam enviadas informações empresariais sensíveis. Estes tipos de ataques tendem a visar os departamentos de RH e Finanças e são muitas vezes o precursor de um ciberataque maior e mais prejudicial.
Sinais de aviso de um ataque de Compromisso de Compromisso de Email Empresarial
- Grande transferência de fundos para um beneficiário com o qual a empresa nunca lidou anteriormente.
- Transferências iniciadas perto do fim do dia / semana de trabalho.
- E-mails que contenham linguagem urgente e que sejam de natureza sigilosa.
- Pequenas alterações a um endereço de correio electrónico que imita um endereço comercial legítimo.
- A conta receptora não tem historial de receber grandes transferências de dinheiro no passado.
- A conta receptora é uma conta pessoal em vez de uma conta comercial registada.
Como Prevenir Ataques de Compromisso por Email de Empresas
- A formação de sensibilização para a segurança é uma das ferramentas mais eficazes para combater os ataques BEC. A formação regular assegurará que o pessoal possa reconhecer e-mails maliciosos, tácticas de engenharia social, identificar pedidos suspeitos e seguir os protocolos correctos para lidar com as transferências de dinheiro.
- Formação de executivos de nível C - É também vital que os executivos de nível C recebam uma formação específica que aborde as ameaças únicas que enfrentam no seu dia-a-dia.
- Os empregados devem questionar e verificar todos os pedidos confidenciais, especialmente aqueles considerados urgentes pelo CEO ou outros Executivos Seniores dentro da empresa.
- Minimizar o número de empregados que têm autoridade para transferir fundos.
- Utilizar autenticação multi-factor em todas as contas de correio electrónico.
- Implementar um processo de verificação em duas etapas para todos os pagamentos que inclua um cheque não enviado por correio electrónico, tal como uma autenticação telefónica ou verbal.
- Desenvolver procedimentos escritos para aprovação de todas as transacções financeiras.
- Enviar todos os e-mails através de um servidor encriptado.
- Não colocar informação sensível nos sítios Web das empresas ou nas redes sociais.
- Considere a utilização de um banner de correio electrónico que notifique os empregados se um correio electrónico tiver vindo de uma fonte externa.
Os empregados representam a maior ameaça à segurança de uma organização, pelo que é vital que estejam equipados com as competências necessárias para evitar um ataque cibernético. MetaLearning Fusion é a próxima geração de eLearning e foi especificamente concebido para proporcionar a melhor formação possível em Segurança e Privacidade Cibernética ao seu pessoal. As organizações podem construir cursos personalizados para o seu pessoal a partir de uma extensa biblioteca de cursos curtos de eLearning. Entre em contacto para mais informações sobre como o MetaLearning pode ser utilizado para transformar a formação de Segurança Cibernética dentro da sua organização.