Malwares

Cibercriminosos se passam por diretores financeiros para enganar funcionários para transferência de fundos

Claylson Martins
Valor arrecadado por cibercrime equivalente à terceira maior economia global

Os pesquisadores da Avanan, empresa de segurança de colaboração e e-mail em nuvem, adquirida pela Check Point Software Technologies Ltd, capturaram e bloquearam um ataque cibernético que falsificou mensagem de atacante se passando por um executivo CFO (Chief Financial Officer) de uma grande organização esportiva para lucro financeiro, pois solicitava envio de dinheiro através de transferência ACH (Automated Clearing House). Os cibercriminosos se passam por diretores financeiros para enganar funcionários para transferência de fundos

Tabela de conteúdo
Cibercriminosos se passam por diretores financeiros para enganar funcionários para transferência de fundosMetodologia do ataqueA metodologia do ataque cibernético usado, o de comprometimento de e-mail comercial (BEC), neste caso foi a seguinte:Exemplo 1Exemplo 2Melhores Práticas: Orientações e Recomendações

Os atacantes tentaram enganar um funcionário da área financeira de nível hierárquico inferior para enviar fundos para uma suposta companhia de seguros. A técnica de ciberataque usada é conhecida como ataque Business E-mail Compromise (BEC), por meio da qual os cibercriminosos se passam por executivos de alto escalão de nível C (CEO, CFO e outros) para obter ganhos financeiros.

Cibercriminosos se passam por diretores financeiros para enganar funcionários para transferência de fundos

Os pesquisadores da Avanan alertam que esses ataques cibernéticos estão aumentando, são vistos com frequência e difíceis de parar porque muitas vezes não há malware ou links maliciosos. O corpo do texto das mensagens não é tão diferente do que é normalmente enviado. Estes ataques são tão convincentes, de fato, que o FBI (Federal Bureau of Investigation) registou US$ 43 bilhões em perdas com estes golpes entre 2016 a 2021, representando mais de 240 mil incidentes domésticos e internacionais.

Metodologia do ataque

Neste ciberataque, os cibercriminosos se passam por um CFO para obter de um funcionário a transferência de fundos.

– Vetor do ataque: E- mail

– Tipo: Comprometimento de e-mail comercial (BEC)

– Técnicas: Engenharia Social, Domínio Spoof

– Alvo: Qualquer usuário final

A metodologia do ataque cibernético usado, o de comprometimento de e-mail comercial (BEC), neste caso foi a seguinte:

1. O cibercriminoso criou pela primeira vez uma conta falsa do CFO da empresa.

2. O cibercriminoso encontra o endereço de e-mail legítimo de alguém da equipe financeira.

3. O cibercriminoso cria um e-mail que parece ter sido encaminhado pelo CFO, com instruções anexadas para conexão.

4. O “suposto” CFO pede ao funcionário para transferir dinheiro instantaneamente.

5. Se o funcionário executar a instrução, o dinheiro cairá na conta dos cibercriminosos.

Cibercriminosos se passam por diretores financeiros para enganar funcionários para transferência de fundos.

Exemplo 1

O usuário recebe um e-mail do CFO de uma grande corporação. O CFO solicita ao destinatário do e-mail que efetue o pagamento a uma seguradora legítima, a West Bend Mutual. Ainda mais inteligente é o fato de que a URL no endereço ‘de’ é retirado do slogan. No entanto, isso é claramente falso, pois o endereço de “resposta” na parte superior do e-mail difere do endereço de e-mail da empresa. Ao verificar o banner, nota-se que ele mostra que o e-mail não era do remetente exibido. Isso foi adicionado pelo Office 365 genérico do locatário, não pelo Proofpoint. Essa foi a única coisa que alertou o usuário final de que algo estava errado.

Cibercriminosos se passam por diretores financeiros para enganar funcionários para transferência de fundos

Exemplo 2

Este é um e-mail quase idêntico ao primeiro exemplo e que afetou outra empresa. Na verdade, foram vistos dezenas desse tipo de ataque. Observam-se duas diferenças: Não há banner externo alertando o usuário final sobre perigo potencial; o e-mail “Entre em contato” na parte inferior indica “Silver Lining” como “Silver Lininng” (com um “n” a mais).

Uma variação sobre esse tipo de ataque aconteceu recentemente na Cisco, em que um atacante foi capaz de roubar a senha de um funcionário, em seguida fingiu ser de uma organização de confiança durante chamadas telefônicas e e-mails. Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família. A ideia é utilizar nomes e parceiros de confiança para conseguir que funcionários entreguem credenciais ou transfiram dinheiro. Sem utilizar malware, anexos ou links maliciosos, estes hacks representam o ápice da engenharia social.

“Descobrimos esse ataque que falsificava o e-mail do CFO de uma grande organização esportiva. O falso CFO pede a um funcionário da área financeira para enviar uma transferência eletrônica para o que parece ser uma companhia de seguros, mas iria direto para o atacante. Nesse caso, conseguimos bloquear o ataque com sucesso.

Esses ataques de tipo BEC são incrivelmente populares, difíceis de serem interrompidos e identificados. Os usuários finais devem sempre ter cautela antes de efetuarem pagamentos, confirmando diretamente com o CFO sempre e antes de pagar. Duas importantes recomendações são, primeiro, que as pessoas implementem segurança avançada de e-mail que verifique mais de um fator para determinar se um e-mail é malicioso ou não; e segundo, que se certifiquem de ler atentamente o e-mail por inteiro antes de agir, procurando por quaisquer discrepâncias”, alerta Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.

Melhores Práticas: Orientações e Recomendações

Este tipo de ataque tem sido visto numa variedade de empresas e de setores. Qualquer CFO ou executivo de alto escalão é um alvo potencial. O melhor, portanto, é bloquear de forma proativa estes ataques para que os usuários finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo.

Para se protegerem contra estes ataques, os profissionais de segurança precisam proceder da seguinte forma:

  • Verificar sempre os endereços de resposta para garantir que correspondam
  • Se alguma vez tiver dúvidas sobre um e-mail, pergunte ao remetente original
  • Incentivar os usuários a perguntar ao setor financeiro antes de agir sobre pagamento de faturas;
  • Ler todo o e-mail; procurar por quaisquer inconsistências, erros de ortografia ou discrepâncias;
  • Se utilizar banners, certificar-se de não “bombardear” os usuários finais com eles; utilizar apenas em momentos críticos para que os usuários finais os levem a sério;
  • Implantar autenticação de múltiplos fatores para todas as contas, mas especialmente e-mail;
  • Configurar contas para o notificar de alterações;
  • Usar um gerenciador de senhas para criar e armazenar suas senhas — o profissional de segurança nunca deve saber sua própria senha;
  • Lembrar os usuários de compartilhar apenas informações pessoais em tempo real, pessoalmente ou por telefone. Incentivá-los a serem céticos em relação a todas as mensagens com links e a sempre verificar com o remetente, em tempo real, quaisquer mensagens com arquivos anexados.
TAGGED:
Share This Article
Por Claylson Martins
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.
Sair da versão mobile