Já dizia a cultura popular “manda quem pode e obedece quem tem juízo”. Não temos por hábito questionar pedidos feitos por superiores, ainda mais se for de um alto executivo, como um CEO. É justamente esse o ponto que os cibercriminosos exploram nos ataques de BEC – Business E-mail Compromise.
Esse ciberataque basicamente consiste em criminosos se passando por funcionários do alto escalão da empresa, através de suas contas de e-mail (comprometidas) ou sutilmente parecidas (spoofing) para enganar funcionários responsáveis por movimentações financeiras. São poucas e simples as técnicas hackers utilizadas, que contrastam com trabalho massivo de engenharia social no âmago do ser humano. É claro que os blackhats fazem sua parte, estudando o negócio muito bem, identificando as transações mais comuns, os personagens da cena e fazendo tudo parecer mais uma transferência usual, com dois pontos diferentes: a urgência e o sigilo. A ação é muito similar à realidade da empresa alvo e por isso qualquer pessoa desatenta não perceberia.
Agora você pode estar pensando: “uma pessoa que lida com transações financeiras não pode se dar ao luxo de ser desatenta”. Sim, de acordo. Mas somos humanos e humanos erram, principalmente em situações conflituosas. Esse ataque lida com sentimentos como o respeito a hierarquia, o comprimento do dever, o senso de urgência, a “pressão do relógio”, o desejo de agradar e o receio de questionar a solicitação de um executivo, uma pessoa com “poder”. Freud explica, não é simples.
Apesar do cenário envolvente, não podemos esquecer da responsabilidade da equipe de cibersegurança que precisa trabalhar para reduzir as chances desse ataque acontecer através dos devidos controles de segurança. Além disso, também é especialmente importante ter uma parceria com o departamento de recursos humanos para a manutenção do programa de conscientização das políticas de segurança e testes para validar sua efetividade.
As políticas de segurança não foram criadas para burocratizar as atividades nem tampouco atrapalhar o andamento dos projetos, mas justamente para zelar pela resiliência e saúde financeira da empresa. Todos os colaboradores precisam entender verdadeiramente o porquê e assumir a sua responsabilidade como ativo de segurança (inclusive os executivos que comumente tem excesso de privilégios).
Fator humano: 30% das violações são causadas por falhas humanas, outros 30% causados por negligência de funcionários ou das próprias organizações quanto à segurança de seus dados (Ponemon Institute 2016).
Um funcionário solícito que atende a todos os pedidos com agilidade tem sua importância, mas precisa ter cuidado para não colocar a empresa em risco. Um funcionário que reflete e é capaz de questionar com os devidos argumentos pode melhorar os processos da empresa, trazer inovações e evitar perdas. Esse funcionário é fundamental!
Saiba questionar
Um bom questionamento é baseado em fatos lógicos que indicam um ponto (ou mais) diferente da orientação recebida. Por isso considere os seguintes aspectos para não ser pego em um golpe de BEC:
- O e-mail recebido é de alguém conhecido? (Se achar suspeito nem abra, verifique)
- O e-mail recebido tem a assinatura digital padrão da empresa?
- O comportamento é padrão? Há um cumprimento ou alguma abordagem diferente do usual?
- A solicitação respeita as políticas se segurança?
- A solicitação respeita as políticas de movimentações financeiras da empresa?
- A solicitação pede urgência e confidencialidade?
- A solicitação pede para confirmar por um telefone novo não conhecido?
Medidas preventivas
Além de questionar, há outras ações que podem ajudar identificar uma fraude e evitar a perda financeira:
- Considere a adoção de medidas extras para validação de operações financeiras, como uma validação por um telefone fixo da empresa.
- Não utilize a opção “reply to”. Utilize a opção “forward”, inclua manualmente o endereço oficial da respectiva pessoa e garanta que o destinatário é o endereço correto.
- Evite o uso de e-mails pessoais ou de plataformas gratuitas. Use contas oficiais para interações corporativas.
- Faça uso de assinatura digital sempre que possível.
Realizar uma operação bancária que seja legal convencendo a pessoa a fazê-la de livre e espontânea vontade é muito mais fácil (bem lucrativo e rápido!) que burlar controles das instituições financeiras. E funciona. Esse tipo de ataque já transferiu mais de US$3,1 bilhões dos cofres das empresas para contas dos criminosos ao redor do mundo, nos últimos três anos.
De acordo com dados do FBI, já são mais de 22,1 mil vítimas em 17.642 negócios de todos os tamanhos espalhados por pelo menos 79 países. Lembro que estamos falando apenas dos casos reportados. Como sempre no mundo da segurança digital o número real pode ser amplamente maior. Hoje temos o BEC e amanhã certamente teremos uma “nova” ameaça explorando a mesma vulnerabilidade, o ativo mais exposto, frágil e vital das organizações: as pessoas.
