O Business Email Compromise (BEC), também conhecido como fraude do CEO, é um tipo de ataque de phishing em que um cibercriminoso se faz passar por um executivo de alto nível para convencer um funcionário, cliente ou fornecedor a transferir dinheiro para uma conta fraudulenta ou a divulgar informações sensíveis.

Ao comprometerem as contas de e-mail oficiais, os criminosos podem monitorizar a atividade online e determinar quem tem as credenciais para iniciar as transferências de dinheiro. Na maioria dos casos, os atacantes fingem ser o CEO, CFO ou outro executivo de nível C, e normalmente combinam uma série de  técnicas de engenharia social para manipular o utilizador e levá-lo a agir.

Nos últimos anos, tem havido um aumento acentuado no número de ataques de Business Email Compromise e, de acordo com o último relatório de avaliação de risco de segurança de correio eletrónico da empresa de gestão de correio eletrónico Mimecast, os ataques BEC aumentaram 80% só no último trimestre.

As perdas globais devido ao comprometimento do correio eletrónico empresarial ultrapassaram os 12,5 mil milhões de dólares e as vítimas podem sofrer perdas substanciais, o que se tornou evidente numa série de ataques recentes de grande visibilidade.

Em março de 2018, a cadeia de cinemas francesa Pathé foi vítima de um sofisticado esquema de Business Email Compromise que lhe custou mais de 19 milhões de euros.

O audacioso assalto foi realizado quando os burlões se fizeram passar pelo CEO e convenceram o diretor-geral e o diretor financeiro do escritório holandês da marca a transferir os fundos através de uma série de cinco transferências de dinheiro consecutivas.

Apesar das suspeitas levantadas, os criminosos conseguiram fazer com que o seu esquema parecesse o mais convincente possível, criando e-mails que eram quase idênticos ao domínio oficial da Pathé. A empresa perdeu 10% dos seus lucros totais e os dois executivos foram despedidos.

O ataque demonstrou a atenção ao pormenor que os cibercriminosos utilizam para se infiltrarem numa empresa e as consequências de grande alcance que um ataque BEC pode ter para uma empresa.

Como funciona um esquema de comprometimento de e-mail comercial

Como funciona o Compromisso de Email Comercial

Ao contrário do tradicional Os ataques de phishing, que tendem a visar um grande número de funcionários, os ataques de BEC são altamente focados e direcionados. Os criminosos passam muito tempo a pesquisar indivíduos em posições empresariais de alto nível antes de lançarem um ataque.

Para fazer com que a correspondência pareça o mais convincente possível, os criminosos vasculham sites de empresas, fontes online e sites de redes sociais, como o LinkedIn, para recolher o máximo de informação possível sobre a sua potencial vítima.

Logo que tenham concluído a sua investigação, utilizam uma técnica específica, como por exemplo Spear Phishing para obter acesso aos sistemas corporativos. Depois de terem acesso, os criminosos podem observar de perto como são feitas as transacções financeiras antes de lançarem um ataque.

O criminoso envia então um falso e-mail do que parece ser o CEO, solicitando uma transferência urgente de fundos a um empregado da organização. O facto de visar um alvo de alto nível ajuda o e-mail a passar pelos filtros de spam, e a utilização de um endereço de e-mail falsificado acrescenta mais legitimidade ao pedido.

O nível de detalhe é tal que os criminosos optam muitas vezes por lançar o seu ataque quando o executivo sénior está fora em trabalho e não pode verificar pessoalmente o pedido. Se a vítima cair no esquema, qualquer dinheiro que tenha transferido será rapidamente enviado para contas localizadas no estrangeiro, o que dificulta a recuperação do dinheiro roubado.

Tipos de esquemas de comprometimento de e-mail comercial

Tipos de fraudes de comprometimento de e-mail comercial

Fraude do CEO – Neste tipo de ataque, os cibercriminosos fazem-se passar pelo CEO ou por outro executivo sénior de alto nível. Depois de a conta ter sido pirateada e o endereço de e-mail falsificado, enviam um e-mail a um funcionário solicitando uma transferência de fundos para uma conta que criaram especificamente. Os e-mails são frequentemente assinalados como urgentes para desencorajar o funcionário de verificar o pedido ou de o discutir com outro membro da equipa.

O esquema da fatura falsa – Este esquema é frequentemente utilizado contra empresas que utilizam muitos fornecedores estrangeiros. A empresa recebe um e-mail do que parece ser um dos seus fornecedores actuais, pedindo-lhe para alterar o destino do pagamento. Todos os pagamentos serão então transferidos diretamente para a conta do autor da fraude.

Comprometimento de contas – Este tipo de ataque tende a ser mais comum entre as pequenas empresas, onde qualquer faturação é gerida diretamente por e-mail. Os cibercriminosos invadem a conta de e-mail de um funcionário e interceptam todos os e-mails que contenham uma fatura. Depois de escolherem o alvo, contactam o fornecedor e informam-no de que houve um problema com o pagamento e pedem-lhe que o reenvie para outra conta fraudulenta que criaram.

Falsa identidade de advogado – Nesta fraude, os criminosos fazem-se passar por um escritório de advogados de uma empresa e solicitam a transferência urgente de fundos para tratar de uma disputa legal ou de uma conta por pagar. O empregado é informado de que o assunto é estritamente confidencial para reduzir a possibilidade de discutir o pedido com qualquer outra pessoa. Os ataques ocorrem frequentemente no final da semana de trabalho para criar uma pressão extra sobre o empregado para que actue rapidamente.

Roubo de dados – Este é o único esquema de BEC que não solicita uma transferência bancária direta. Os ataques de roubo de dados ocorrem quando um cibercriminoso compromete a conta de correio eletrónico de um executivo sénior e solicita que lhe sejam enviadas informações empresariais sensíveis. Estes tipos de ataques tendem a visar os departamentos de RH e de Finanças e são frequentemente o precursor de um ciberataque maior e mais prejudicial.

Sinais de aviso de um ataque de Compromisso de Email Empresarial

Ataques BEC

  • Transferência de fundos avultados para um destinatário com o qual a empresa nunca lidou anteriormente.
  • Transferências iniciadas perto do fim do dia/semana de trabalho.
  • E-mails que contêm linguagem urgente e são secretos por natureza.
  • Pequenas alterações a um endereço de correio eletrónico que imita um endereço comercial legítimo.
  • A conta do destinatário não tem um historial de ter recebido grandes transferências de dinheiro no passado.
  • A conta do destinatário é uma conta pessoal em vez de uma conta comercial registada.

Como evitar ataques de comprometimento de e-mail empresarial

como evitar ataques de Compromisso de Email Empresarial

  • A formação de sensibilização para a segurança é uma das ferramentas mais eficazes para combater os ataques de BEC. A formação regular garante que o pessoal consegue reconhecer e-mails maliciosos, tácticas de engenharia social, identificar pedidos suspeitos e seguir os protocolos corretos para lidar com transferências de dinheiro.
  • Formação para executivos de nível C – É também vital que os executivos de nível C recebam formação específica para a sua função que aborde as ameaças únicas que enfrentam no dia a dia.
  • Os funcionários devem questionar e verificar todos os pedidos confidenciais, especialmente os que são considerados urgentes pelo CEO ou por outros quadros superiores da empresa.
  • Reduzir ao mínimo o número de empregados que têm autoridade para transferir fundos.
  • Utiliza a autenticação multifactor em todas as contas de correio eletrónico.
  • Implementar um processo de verificação em duas fases para todos os pagamentos, que inclua uma verificação que não seja por correio eletrónico, como uma autenticação telefónica ou verbal.
  • Desenvolve procedimentos escritos para a aprovação de todas as transacções financeiras.
  • Envia todas as mensagens de correio eletrónico através de um servidor encriptado.
  • Não publiques informações sensíveis nos sítios Web da empresa ou nas redes sociais.
  • Considera a utilização de um banner de correio eletrónico que notifique os funcionários se uma mensagem de correio eletrónico tiver vindo de uma fonte externa.

Os funcionários representam a maior ameaça à segurança de uma organização, pelo que é vital que estejam equipados com as competências necessárias para evitar um ciberataque. O MetaLearning Fusion é a próxima geração de eLearning e foi especificamente concebido para proporcionar a melhor formação possível em Segurança Cibernética e Privacidade para o seu pessoal. As organizações podem criar cursos personalizados para o seu pessoal a partir de uma extensa biblioteca de cursos eLearning de curta duração.  Entra em contacto connosco para mais informações sobre como o MetaLearning pode ser utilizado para transformar a formação em Cibersegurança na tua organização.