A ISH Tecnologia, referência em cibersegurança nacional, alerta para um ataque que está em evidência no mundo cibernético: o ataque de comprometimento de e-mail comercial (BEC, da sigla em inglês “Business E-mail Compromise”). Trata-se de um ataque feito por phishing que explora confiança e autoridade dos altos executivos das organizações, visando enganar funcionários, parceiros ou fornecedores para realizar transferências financeiras fraudulentas. Os cibercriminosos se passam por profissionais do alto escalão (executivos, CEOs, CFOs) das empresas alvo, para solicitar informações confidenciais para funcionários que cuidam de transações financeiras ou pagamentos, tentando convencer que estes estão recebendo instruções legítimas.
Caique Barqueta, Especialista em Inteligência de Ameaças da ISH Tecnologia, diz que a alta dos ataques de BEC se originam majoritariamente das operações de vazamento de credenciais realizadas por grupos invasores. “A correlação entre esses incidentes e as credenciais vazadas é preocupante porque os cibercriminosos podem usar informações autênticas das credenciais para aumentar a credibilidade do phishing. Ao utilizar nomes e senhas reais, o atacante tem todo um leque de informações necessário para ninguém perceber que é uma pessoa diferente ali atrás daquele endereço eletrônico.” Completa dizendo que o grande perigo é que os invasores não trabalham sozinhos, mas criam um mercado unificado que se une para cumprir seus objetivos. “A frequência dessa autenticidade e emulação que vimos é porque esses grupos não agem sozinhos, mas são unificados por meio da venda e compra dessas credenciais e entradas. É como se uma vez colocada nesses fóruns da Dark Web, qualquer um que queira comprar a credencial para atacar diretamente algum domínio, pode fazê-lo.”
Tipos de golpes BEC
Segundo o FBI, há cinco principais golpes de comprometimento de e-mail comercial:
Comprometimento da conta: em um comprometimento de conta, a conta de e-mail de um funcionário é hackeada e utilizada como veículo para crimes financeiros ou de dados. Uma vez com a conta, o invasor tentará induzir transações e pagamentos em nome dos fornecedores, só que para uma conta diferente.
Personificação de advogado: visa funcionários recém-contratados ou juniores. Nesse ataque, se passa por um advogado da empresa que precisa urgentemente de dados confidenciais empresariais bancários ou de dados. Como o pedido é colocado como alta prioridade, pessoas com pouca experiência na empresa ou pouco conhecimento de segurança digital fazem o necessário para conseguir aqueles dados.
Fraude do CEO: nesse ataque, o cibercriminoso utilizará de uma das credenciais mais importantes da empresa, o CEO. Solicitando a equipe financeira transações ou operações urgentes, geralmente tem sucesso por utilizar desse desespero quando alguém do alto escalão pede para uma tarefa ser realizada.
Roubo de dados: esse ataque procura a área empresarial do RH ou finanças e tenta roubar dados pessoais sobre funcionários ou clientes da empresa. Essas credenciais, dados bancários ou pessoais podem ser utilizados para serem vendidas em fóruns da Deep Web, ataques direcionados à uma pessoa, ou promover ataques futuros.
Golpe de faturas falsas: nesse golpe, o invasor se apresenta como um fornecedor se solicita o pagamento de um funcionário por um serviço, com um modelo real de fatura. A única coisa que muda são os detalhes da conta bancária, que em vez de ser o fornecedor, é do grupo malicioso.
