Business E-mail Compromise
Imagine a seguinte situação...
Uma contadora de uma empresa nos Estados Unidos recebeu um e-mail, em meados de Agosto de 2015, de seu CEO. Ele requisitava uma transferência financeira a respeito de uma aquisição que demandava certa urgência em ser completada até o final do dia. O CEO disse também que um entraria em contato para dar maiores informações.
“Era usual eu receber e-mails solicitando transferência de fundos”, a contadora disse posteriormente. Quando foi contatada pelo advogado por e-mail, ela notou que havia um documento legítimo de autorização, que incluía a assinatura do CEO. Como tudo aparentava rotineiro, ela prosseguiu com as instruções de transferência de mais de US$737 mil para um banco na China.
No outro dia, o CEO ligou para a contadora tratando sobre outros assuntos... quando ela, então, informou que havia completado a transferência bancária no dia anterior. O maior problema é que o CEO não havia enviado e-mail algum, e claramente, não sabia de nada a respeito de “aquisições”.
O golpe
Criminosos se passam por funcionários do alto escalão e utilizam suas contas de e-mail, ou sutilmente parecidas, para enganar funcionários responsáveis por movimentações financeiras dentro das empresas. Estas transferências têm como destino contas em poder dos criminosos. O FBI que estima que no período de outubro de 2013 até fevereiro de 2016 todos os estados americanos e mais 79 países já tenham sua vítima. O nome dessa ciberameaça é Business E-mail Compromise (BEC). O nome pode até ser novo, mas a proposta é uma velha conhecida: obter vantagens financeiras.
Na mira dos cibercriminosos
Esses ataques visam empresas de variados tipos e tamanhos, desde grandes corporações até pequenos negócios. Os criminosos entendem seu modelo de negócios, procuram informações chave sobre parceiros e escolhem seus alvos. Informações públicas são de grande valor e nada mais público do que o LinkedIn e sites corporativos. No caso citado no início do guia, a própria página da empresa listava quem eram seus executivos, seus respectivos e-mails e um calendário de eventos que teriam a participação do seu CEO.
Os alvos favoritos são:
- Fornecedores: Os fraudadores se passam por um fornecedor da empresa e pedem modificações no pagamento de boletos referentes aos contratos vigentes.
- Executivos: Os fraudadores se passam por executivos do alto escalão da empresa e um e-mail é enviado a um funcionário, solicitando uma transação financeira com urgência.
- Funcionários: Uma conta de e-mail é comprometida, e os criminosos enviam requisições de transferência bancária ou pagamento de faturas para fornecedores identificados em sua lista de contato.
Como funciona
Os criminosos entendem o modelo de negócio da empresa, procuram informações chave sobre parceiros e escolhem seus alvos. Informações públicas são de grande valor, como as obtidas no LinkedIn e no próprio site corporativo, por exemplo.
Uma vez escolhido o alvo, o atacante tentará comprometer a identidade da vítima de duas formas:
Comprometimento direto: O atacante possui controle sobre a conta de e-mail original. Isto pode ocorrer a partir do envio de um e-mail de phishing, engenharia social ou até mesmo infecção por malware.
Comprometimento indireto: O atacante se aproveita de falhas de segurança do protocolo SMTP para tentar se passar por um alto executivo.
Prejuízos
Em um recente estudo, a Trend Micro revelou que os países com ataque BEC mais prevalentes são Estados Unidos, Reino Unido, Hong Kong, Japão e Brasil (com 186 companhias afetadas).
Prevenções e cuidados
- Evite contas de e-mail gratuitas com base na web: estabeleça um nome de domínio da empresa
- Utilize assinatura digital no envio de mensagens, sempre que possível
- Implemente controles complementares de Segurança de e-mail como: fechamento de relay, SPF, MKID/Criptografia, autenticação SMTP, etc
- Considere a prática de não utilizar a opção de “Reply” para responder e-mails de negócio. Use a opção “Forward” e garanta que colocou o endereço correto
- Avise o time de Segurança da empresa e/ou as autoridades competentes, quando alguma fraude deste tipo ocorrer
- Evite abrir e-mails e links suspeitos
- Cuidado com o nível de informações publicadas na internet: responsabilidades e detalhes do trabalho, informações hierárquicas, etc
- Desconfie de elementos diferentes, como uma saudação não usual e falta de assinatura de e-mail
- Considere a adoção de medidas adicionais para validação de operações financeiras como confirmação via telefone, por exemplo
Mas não para por aí - Business Process Compromise
Ano passado, o assalto ao Banco de Bangladesh causou perdas de até 81 milhões de dólares. Diferente do golpe BEC, que depende de um erro humano, o assalto resultou de uma compreensão profunda de como grandes instituições processavam transações financeiras. Essa nova categoria de ataques recebeu o nome de “BPC” - Business Process Compromise (Comprometimento de Processos Empresariais).
Segundo Relatório de Previsões de Segurança da Trend Micro para 2017, prevê-se que os golpes BPC irão além do departamento financeiro, apesar das transferências de fundos continuarem sendo o objetivo mais típico. Possíveis cenários incluem hackear um sistema de pedido de compra para que os cibercriminosos possam receber o pagamento do verdadeiro fornecedor; ou um sistema de envio de pagamento para levar a transferências não autorizadas de fundos. Os cibercriminosos podem, ainda, hackear um centro de entrega e reencaminhar bens valiosos para um endereço diferente. Isso, inclusive, já aconteceu em um incidente isolado, em 2013, onde o sistema de envio de container Antwerp Seaport foi hackeado para contrabandear drogas.
Se compararmos o pagamento entre ataques de ransomware em redes empresariais (US$ 30.000, o maior pagamento relatado em 2016 até agora), o pagamento médio em ataques BEC (US$ 140.000) e o potencial ganho em ataques BPC (US$ 81 milhões), é fácil ver porque os cibercriminosos estarão mais do que dispostos a seguir esse caminho.
Grandes empresas têm uma visibilidade limitada dos riscos associados quando processos empresariais são atacados. O foco de segurança típico é garantir que os dispositivos não sejam hackeados e os cibercriminosos sabem disso e aproveitarão essa demora de percepção.