Enquanto as empresas estão ocupadas tentando se proteger contra ataques de ransomware que geram manchetes de notícias, os agentes de ameaças estão aderindo a uma das técnicas de hacking mais antigas e eficazes – comprometimento de e-mail comercial (BEC).
A segurança corporativa tem se inclinado para o ransomware nos últimos anos, mas os dados do FBI destacam que as empresas em conjunto estão perdendo 51 vezes mais dinheiro por meio de ataques BEC. Em 2021, os ataques BEC nos EUA causaram perdas totais de US$ 2,4 bilhões, um aumento de 39% em relação a 2020. Em contraste, ao mesmo tempo, as empresas nos EUA perderam apenas US$ 49,2 milhões para ransomware.
Embora a perda financeira média de um golpe BEC seja muito menor do que o resgate médio solicitado em um ataque de ransomware, os comprometimentos de e-mail são tecnicamente mais fáceis de implementar. O resultado é que os comprometimentos de e-mail comercial superam em muito os ataques de ransomware.
O comprometimento do e-mail comercial surge quando os criminosos acessam a conta de e-mail de um funcionário confiável, diz Paul Ducklin, Principal Cientista de Pesquisa da Sophos. “O problema aqui, ao contrário dos ataques de phishing tradicionais, é óbvio: as mensagens falsas criadas pelos bandidos realmente vêm da conta de e-mail real desse funcionário. Pior ainda, os bandidos podem ler as mensagens dessa pessoa antes de fazê-lo, de modo que, se você enviar um e-mail para consultar solicitações estranhas que eles fazem, ou mesmo perguntar se eles estão no controle de sua conta, os bandidos simplesmente excluem essas mensagens e respondem de forma tranquilizadora. Como resultado, o verdadeiro destinatário nunca vê os sinais de alerta e você nunca descobre a verdade”.
Em 2021, o Internet Crime Center do FBI recebeu 19.954 reclamações de BEC. Iniciou ação em 1.726 reclamações BEC envolvendo transações domésticas com perdas potenciais de US$ 443 milhões. Uma retenção foi colocada em aproximadamente US$ 329 milhões – normalmente identificando e congelando a conta bancária usada pelos hackers, para que nenhum dinheiro pudesse ser sacado.
Ransomware continua a ofuscar ataques BEC
Se os ataques BEC são de fato tão difundidos, a pergunta óbvia é por que não ouvimos falar deles com mais frequência. Uma das razões é que as empresas raramente relatam esses ataques.
“Continuaremos a ver ataques não relatados, mesmo em países regulamentados. Se você relatar os ataques, perceberá que isso afetará seus negócios de maneira catastrófica”, diz Garrett O’Hara, Tecnólogo Chefe de Campo da Mimecast. “Muitos países que têm relatórios obrigatórios têm categorias em que a maioria das pequenas e médias empresas não se enquadra no âmbito do reporte obrigatório. E mesmo aqueles que estão sob a alçada de relatórios obrigatórios, acham que é melhor pagar multa do que relatar esses incidentes”.
Os números envolvidos no ransomware também são maiores e tendem a chamar mais a atenção. A demanda média de ransomware foi de US$ 2,2 milhões em 2021, de acordo com a Palo Alto Networks, enquanto o FBI relata que o custo médio de um golpe BEC foi de cerca de US$ 120.000 em 2021.
“O BEC é embaraçoso e você pode perder algum dinheiro, mas o ransomware é uma crise existencial. A maioria das empresas, portanto, vê o BEC como um roubo regular. Ransomware bem executado paralisa um negócio. Os servidores podem ser bloqueados, os pacientes podem ter cuidados de saúde vitais negados, todos os sistemas críticos podem ser bloqueados”, disse O’Hara.
Ataques BEC podem ser extremamente fáceis de executar
Para executar um golpe BEC, os hackers obtêm acesso a contas de e-mail de funcionários seniores da empresa por meio de técnicas de engenharia social e, em seguida, basta solicitar ao departamento de contas que faça um pagamento a um determinado fornecedor. Nesse caso, o fornecedor geralmente pode ser um fornecedor legítimo e a fatura pode parecer idêntica a uma fatura anterior do mesmo fornecedor. O hacker apenas altera os detalhes da conta e, como o e-mail vem da alta administração, a equipe de contas não questiona a transação.
O invasor, portanto, nem precisa explorar nenhuma vulnerabilidade de segurança, não precisa escrever nenhum código (na maioria dos casos) e às vezes pode executar o golpe sem conhecimentos profundos de informática.
Por outro lado, para executar um ataque de ransomware, o invasor precisa encontrar vulnerabilidades nos computadores ou servidores do alvo, obter acesso aos laptops ou servidores alvo, criptografar todos os arquivos e exigir um resgate – um processo relativamente complexo.
A facilidade de execução de ataques BEC tem sido, portanto, o maior desafio para contê-los. Um alvo típico do BEC é uma empresa que tenha um grande número de transações financeiras – basicamente qualquer empresa que esteja transferindo dinheiro regularmente. Isso cria uma ampla oportunidade para ataques BEC.
Com o advento das reuniões remotas nos últimos anos, os fraudadores estão mirando em plataformas de reuniões virtuais para hackear e-mails e falsificar as credenciais da equipe de liderança sênior para iniciar a transferência fraudulenta de fundos, de acordo com o mais recente relatório anual de crimes na Internet do FBI. Esses fundos são imediatamente transferidos para carteiras de criptomoedas ou contas bancárias de mulas e rapidamente dispersos, dificultando os esforços de recuperação.
“Os BECs se concentram em ataques em massa, ao contrário dos ataques de ransomware que são altamente direcionados e, portanto, exigem muito trabalho. Vemos nos golpes BEC que os hackers estão visando muitas PMEs, o que representa 80-90% das empresas. São muitos alvos. Por outro lado, os ataques de ransomware normalmente são direcionados a multinacionais (empresas multinacionais) e seus terceiros. Os invasores também usam kits de ferramentas BEC para executar alguns desses golpes”, diz Ian Lim, Diretor de Segurança de Campo da Ásia-Pacífico da Palo Alto Networks.
A divisão Unit 42 da Palo Alto rastreia BECs há vários anos e até trabalhou com a Interpol em uma recente operação anti-BEC que levou à prisão de 11 cidadãos nigerianos, muitos dos quais participavam de golpes BEC desde 2015. A investigação descobriu que o perfil dos atacantes também evoluiu com o tempo. Muitos dos invasores eram graduados em TI, que veem os golpes BEC como opções de carreira fáceis e lucrativas.
As empresas precisarão de ferramentas de IA para combater golpes BEC
Os hackers agora estão usando técnicas avançadas para executar seus golpes BEC, incluindo “domínios primos” – um site com um nome enganosamente semelhante a outro site – ou “imitação de identidade”, em que o domínio usado se parece muito com um site legítimo. Esses domínios podem enganar os usuários solicitando que eles insiram suas informações pessoais.
“Você precisa de ferramentas de IA para identificar essas técnicas por meio de trilhas digitais. As ferramentas de IA também podem rastrear o idioma usado nos e-mails para sinalizar qualquer comportamento anômalo”, diz O’Hara, da Mimecast.
Um dos maiores desafios que as empresas enfrentam ao tentar se defender contra golpes BEC, porém, é que as contas de e-mail que são usadas para realizar esses golpes geralmente são contas de e-mail legítimas pertencentes a altos funcionários da empresa, incluindo CEOs e CFOs.
Mas verificações e contrapesos simples também podem ajudar bastante no combate aos golpes BEC, acreditam os especialistas. “Se você notar algo incomum, se algo for inesperado, verifique e confirme antes de fazer qualquer pagamento. Pegue o telefone e valide a solicitação antes de prosseguir com qualquer transação financeira oficial. Você precisa ter uma boa dose de suspeita”, diz Lim, da Palo Alto Networks.
De acordo com O’Hara, incorporar a segurança diretamente nos processos de negócios também pode ajudar as organizações a se manterem protegidas contra esses golpes. “O processo de atualização de dados bancários de um fornecedor, por exemplo, precisa seguir políticas de segurança. O mesmo precisa ser seguido para qualquer novo fornecedor”, disse ele.
As pessoas são sua melhor defesa contra o BEC, aponta Ducklin, da Sophos. “Lembre-se: ‘Em caso de dúvida, não divulgue’ e ‘se você ver algo, diga algo’. Se você trabalha em operações de segurança e ainda não tem uma maneira simples e padronizada para a equipe relatar coisas que não batem, por exemplo um endereço de e-mail monitorado diretamente pela equipe SecOps — crie um imediatamente. Se você acha que a conta de alguém pode ter sido invadida, lembre sua equipe de não usar essa mesma conta para expressar suas suspeitas, seja um endereço de e-mail, uma conta do Facebook ou um número de telefone”.
A Snowflake anunciou que encerrará esta semana sua investigação sobre um ciberataque que afetou até…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
A Rockwell Automation anunciou novas colaborações com a NVIDIA para impulsionar o desenvolvimento de robôs…
A Real Máquinas, rede de concessionárias brasileiras da marca americana de máquinas agrícolas John Deere,…
A Compass UOL adiantou essa semana, com exclusividade para o IT Forum, que firmou uma…
Quanto mais as empresas adotam aplicações de inteligência artificial, maior é a responsabilidade das equipes…