O que é Business Email Compromise (BEC) e como funciona?

Muitas vezes ouvimos que o e-mail está morrendo por causa das mídias sociais, mas a verdade é que seu uso continua crescendo. Uma pesquisa do The Radicati Group mostra que o uso de e-mail aumentará para 319,6 bilhões de e-mails enviados e recebidos, por dia, até 2021. São muitos e-mails. Embora seja verdade que muito disso seja spam e indesejado, o e-mail continua sendo uma maneira muito conveniente de se comunicar com a equipe interna e com os parceiros comerciais e clientes externos.

Como o e-mail é uma parte tão útil das comunicações comerciais, sempre será a maneira número um para um cibercriminoso atingir um indivíduo e uma organização. Vimos isso confirmado com 76% das empresas que sofreram um ataque de phishing.

Como sempre, o cibercriminoso é um adversário astuto e encontrará muitas maneiras novas e inovadoras de causar uma ameaça cibernética. Outro método de ataque baseado em e-mail de grande sucesso é o Business Email Compromise, ou BEC, também conhecido como Fraude do CEO. Neste artigo, analisarei o que é o BEC e como podemos tentar proteger nossos negócios contra essa ameaça mais sinistra.

Business Email Compromise – Alguns exemplos

Uma pesquisa realizada pelo FBI com foco nos três anos anteriores a 2016 descobriu que o BEC estava por trás de US$ 5,3 bilhões em perdas de negócios em todo o mundo. Alguns exemplos daqueles que foram vítimas de golpes BEC incluem:

Empresa austríaca FACC Operations GMBH: A empresa perdeu 50 milhões de euros por meio de um golpe BEC quando hackers personificaram o CEO, Walter Stephan, em e-mails. Os e-mails falsos pediam transferências urgentes de dinheiro – é claro, o dinheiro foi direto para a conta bancária do hacker.

Empresa californiana Xoom Corporation: Um golpe semelhante ao incidente do FACC Operations BEC; desta vez envolvendo cerca de US$ 30,8 milhões sendo transferidos para a conta de um hacker. Isso fez com que o preço das ações da empresa caísse 17% após o incidente.

Fabricante de brinquedos Mattel: A empresa entregou US$ 3 milhões a golpistas que usaram técnicas BEC para enganar a organização e fazê-la pensar que era uma transação financeira legítima.

Estes exemplos mostram a gravidade deste problema. Um golpe BEC pode custar milhões a uma empresa. Razões suficientes para saber mais sobre isso.

Como é um golpe BEC

Como muitos dos métodos mais bem-sucedidos usados pelos cibercriminosos, o BEC é baseado no tema comum de manipular o comportamento humano e usar a tecnologia no processo. O termo geral para isso é “engenharia social”. Ele usa nossa sociabilidade humana e conectividade normal com outras pessoas para afetar o objetivo final do criminoso. Aqui estão algumas maneiras pelas quais os golpistas do BEC trabalham:

Personificação do CEO

O golpe FACC Operations foi baseado na falsificação do e-mail do CEO. Isso pode ser feito sequestrando uma conta real ou usando um endereço de e-mail falso para induzir outras pessoas a pensar que o e-mail é legítimo. O seqüestro envolve invadir uma conta de e-mail real (roubando credenciais de login) e assumi-la. A falsificação é uma técnica mais simples, mas pode ser menos bem-sucedida. No entanto, um e-mail falsificado pode ser muito difícil de detectar. Especialmente, se o golpista observou como o CEO se comporta e o tipo de linguagem que ele usa. Os endereços de e-mail falsos são muito semelhantes ao endereço real. Por exemplo, se eles mudarem [email protected] para [email protected], apenas pessoas atentas identificariam o domínio diferente.

Fatura falsa

Os hackers usam técnicas de vigilância para construir inteligência sobre como o departamento financeiro de uma empresa opera. O cibercriminoso usará e-mails de spear phishing para atingir um indivíduo no departamento, roubando suas credenciais de login da conta de e-mail. Eles então observam os padrões de fatura e, eventualmente, enviam uma fatura falsa para pagamento ou ajustam os detalhes de pagamento em uma fatura legítima.

Nós e o Business Email Compromise

BEC é como uma configuração fora de moda. O golpe é baseado na manipulação do comportamento humano. Os criminosos usam uma combinação de truques psicológicos e know-how para fazer com que você cumpra suas ordens. A seguir estão alguns elementos importantes que eles empregam:

Vigilância

Os hackers do BEC geralmente dedicam seu tempo para entender como uma empresa e os indivíduos dessa empresa trabalham e se comunicam. Eles querem que seus e-mails pareçam o mais reais possível e imitem o funcionário que estão representando. Por esta razão, eles usam palavras semelhantes para fazer sua vítima acreditar neles.

Confiança

O golpe é construído em torno de relacionamentos confiáveis. Muitas vezes, o trapaceiro usará relacionamentos confiáveis conhecidos como aquele entre um CEO e o Diretor Financeiro para iniciar uma transferência de dinheiro. Se confiarmos na pessoa que está nos pedindo para transferir dinheiro, é mais provável que o façamos. Especialmente, se a linguagem e as palavras que eles usam são as mesmas usadas normalmente.

Bons funcionários

Os golpes BEC geralmente são mais bem-sucedidos quando usam um senso de urgência. Isso pode manipular a necessidade de um funcionário fazer um bom trabalho. Os e-mails falsos terão itens de ação como “Proceda com urgência a esta transferência; se não movimentarmos esse dinheiro até as 12 horas, perderemos este grande negócio”. O medo de levar a culpa se algo não for transferido a tempo leva o funcionário a cumprir. A urgência também faz com que as pessoas se estressem, tornando-as menos propensas a pegar qualquer pista de que é realmente uma farsa.

Maneiras de evitar ser enganado pelo BEC

Tal como acontece com todas as ameaças de segurança cibernética, existem maneiras de reduzir seu risco e jogar o cibercriminoso em seu próprio jogo. Por isso listamos algumas ideias de como se manter afiado e, consequentemente, protegido.

1. Esteja ciente

Em primeiro lugar, certifique-se de que todos em sua empresa, desde o conselho até os funcionários, estejam cientes do que é um golpe BEC e como ele pode acontecer. Em particular, conscientize as áreas de negócios-alvo, como finanças, sobre a ameaça. Coloque verificações e medidas no lugar, como fazer um telefonema para verificar uma grande transferência.

2. Use autenticação de e-mail robusta

Embora grande parte de um golpe BEC seja baseado em engenharia social, existem alguns golpes que invadem contas de e-mail. Se puder, aplique a autenticação de dois fatores (2FA) para acessar uma conta de e-mail. Por exemplo, sistemas de e-mail como o Gmail oferecem isso usando um aplicativo para dispositivos móveis ou uma mensagem de texto SMS. Observe que a mensagem de texto SMS 2FA tem alguns problemas de segurança conhecidos. Assim, um código de aplicativo móvel pode ser mais seguro.

3. Controle seu domínio

Os endereços de e-mail falsos que os criminosos nos enviam, geralmente têm domínios semelhantes no endereço de e-mail. Certifique-se de comprar todos os domínios semelhantes ao seu domínio principal. Como resultado, os hackers não poderão abusar deles.

4. Seja higiênico

Medidas básicas de higiene de segurança, como prevenção de malware, devem sempre ser seguidas. Para refrescar sua memória do que isso significa, você pode dar uma olhada em nossos 8 passos para manter a equipe online. Embora isso seja direcionado ao indivíduo, é importante que todos em sua empresa estejam cientes dessas etapas.

Considerações finais

O que é tão assustador no Business Email Compromise é que o hacker se torna um espião e usa nosso próprio comportamento contra nós. BEC pode ser um crime muito caro, colocando as empresas sob grave pressão financeira. Às vezes, até resulta na demissão de indivíduos. Alguns métodos simples, como estar ciente da segurança, podem ajudar a minimizar a chance de sua empresa ser atingida por esse crime cibernético prejudicial.