Relatório do FBI mostra que golpes BEC (ou comprometimento de e-mail corporativo) tem utilizado dispositivos móveis para roubar dados das empresas.
Campo Grande (MS) – A segurança foi um tema bastante discutido em 2020, mas que será ainda relevante em 2021. Basta observar o relatório “Internet Crime Report 2020” do FBI, em que a “polícia federal” dos Estados Unidos recebeu 791 mil reclamações sobre diversas tentativas de golpes no ano passado.
Esse total de reclamações gerou mais de US$ 4 bilhões de perdas. Porém, os esquemas de comprometimento de e-mail corporativo (BEC, na sigla em inglês para Business E-mail Compromise) foram destaques: as quase 20 mil reclamações tiveram perdas de US$ 1,8 bilhão.
O relatório do FBI, organizado pelo Internet Crime Complaint Center da agência, foi divulgado no mês de março e ainda sugere o que as pessoas devem fazer caso sejam vítimas. Ele está disponível aqui (em inglês).
Com a pandemia de COVID-19 e muitas empresas migrando seus colaboradores para casa, o FBI percebeu um aumento no número de reclamações relacionadas a ataques cibernéticos. Para ter uma ideia, as mais de 791 mil queixas representam um salto de 69% em relação a 2019.
Olhando para 2020, diversas investidas utilizando BEC focaram na falsificação de contas de e-mail de CEO, CFO e outros C-Levels de uma empresa. Todas elas, no nome desses executivos, solicitavam aos colaboradores uma transferência de dinheiro para alguma conta.
No entanto, como 2020 também foi um ano que os cibercriminosos aproveitaram para aprimorar os ataques, um golpe de BEC foi além de e-mails no nome de outra pessoas. Os hackers passaram a usar outros meios para transferir dinheiros para uma conta em criptomoeda.
O que é BEC
O Business E-mail Compromise (BEC) é um golpe realizado por e-mail visando funcionários de companhias que enviam regularmente transferências eletrônicas (documentos, arquivos confidenciais, depósitos bancários etc.) para outros colaboradores e empresas.
São golpes que utilizam contas falsificadas de e-mail ou até mesmo já comprometidas para enganar os destinatários. A ideia é conseguir que eles forneçam informações da empresa, enviem dinheiro ou até mesmo compartilhem dados sobre alguma tecnologia patenteada.
Por ser uma técnica de engenharia social, comprometer um e-mail corporativo exige ganhar a confiança do destinatário. Esse assunto foi até tópico do Embratel Talks sobre LGPD, realizada pela Embratel no ano passado. Confira mais no player abaixo:https://www.youtube.com/embed/HOjnPhKFQJQ?start=1&feature=oembed
Também não é novidade que o fator humano é o mais vulnerável no ecossistema de segurança de uma empresa (veja aqui um infográfico sobre o tema). E os cibercriminosos sabem muito bem que alguns colaboradores não prestam atenção na hora de abrir um e-mail.
Por exemplo, uma simples letra alterada na URL pode levar um funcionário a uma página falsa, inserindo seus dados e, consequentemente, transformando-se em uma potencial vítima de roubo de informações e extorsão.
Sem contar que os conteúdos desses e-mails trazem uma ortografia bem familiar, apelando para o senso de urgência. O resultado é que muitos colaboradores não questionam a veracidade e acabam caindo no golpe.
Fraudes com e-mails corporativos chegam a bilhões, segundo o FBI
Apesar de o relatório do FBI apontar um prejuízo de quase US$ 2 bilhões em 2020, o total entre outubro de 2013 a maio de 2018 ultrapassa US$ 12 bilhões, segundo notícia publicada pela agência em julho daquele ano.
O problema é que golpes baseados em comprometimento de e-mails passaram a ter mais complexidades. Atualmente, os criminosos usam contas pessoais dos executivos, de fornecedores e até mesmo de advogados na tentativa de arrancar informações de uma empresa.
Ainda mais depois do maior número de colaboradores trabalhando remotamente e usando seus dispositivos móveis durante o expediente. Para Justin Albrecht, engenheiro de inteligência de segurança da Lookout, o phishing móvel é a “maneira mais eficaz de um ataque BEC acontecer.”
Como afirma o especialista ao site TechRepublic, os “smartphones e tablets não têm as mesmas ferramentas de segurança e proteções que os dispositivos tradicionais, como desktops e laptops, possuem.”
Albrecht destaca que muitos malwares têm sido espalhados por SMS ou outros aplicativos de mensagens. Quando uma pessoa clica nos links maliciosos, o arquivo acaba enviando spam para a lista de contatos dos dispositivos infectados.
Isso tem se tornado recorrente no WhatsApp, em que a lista de contato de um dispositivo infectado recebe mensagens pedindo doações. Recentemente, vários usuários tiveram sua conta no aplicativo duplicada e não clonada, como destaca essa matéria do Mundo Conectado.
Algumas dicas de segurança
O relatório do FBI fornece algumas dicas de segurança para evitar cair em golpes de comprometimento de e-mail corporativo. Embora sejam voltadas para o público norte-americano, algumas sugestões valem também para cá:
- Assim que descobrir uma fraude monetária, entre em contato com a instituição financeira para solicitar o bloqueio da conta ou de cartões de crédito.
- Antes de finalizar um pagamento, verifique se os dados do destinatário estão corretos.
- Ao ler um e-mail em um smartphone ou tablet, confira se o domínio do e-mail é realmente da empresa. Tente também perceber se há letras trocadas. Em última instância, cheque a informação com o emissor.
Para mais dicas de segurança para proteger os ativos da sua empresa, não deixe de ler esses conteúdos no Mundo + Tech:
Custo dos ataques cibernéticos no Brasil em 2021: US$ 7 milhões
Segundo matéria publicada no site da revista Época Negócios, a consultoria Cybersecurity Ventures estima que os ataques cibernéticos devem custar US$ 7 milhões à economia brasileira em 2021.
Não há um levantamento “centralizado” a respeito da quantidade de golpes Business E-mail Compromise realizados no país, como o feito pelo FBI nos Estados Unidos. Mas alguns relatórios dão uma dimensão do panorama da segurança digital — e consequentemente da necessidade de valorizar ações para impedir ataques em nome da saúde financeira de uma instituição.
Segundo a Fortinet, fornecedora de produtos e soluções de cibersegurança, o Brasil registrou mais de 8,4 bilhões de ataques cibernéticos em 2020 — no geral —, com alta atividade de e-mails de phishing com arquivos HTML maliciosos anexados.
A empresa também destacou o alto grau de sofisticação e eficiência dos ataques cibernéticos, incluindo aí o uso de tecnologias avançadas e Inteligência Artificial para ataques direcionados com maior probabilidade de sucesso.
Fonte: Mundomaistech