Perdas com BEC chegam a $1,8 bilhão conforme as táticas evoluem. Os ataques de BEC são mais perigosos e os usuários inteligentes são aqueles que podem impedi-los.
Os ataques de comprometimento de e-mail comercial (BEC – Business Email Compromise) aumentaram significativamente em 2020, com mais de US $ 1,8 bilhão roubados de organizações com esses tipos de ataques só no ano de 2020 – e as coisas estão piorando.
Os ataques de BEC são executados por cibercriminosos que se fazem passar por alguém de dentro de uma organização ou se fazem passar por parceiro ou fornecedor, com o objetivo de golpes financeiros. Um novo relatório do Talos Intelligence da Cisco examinou as táticas de alguns dos ataques de BEC mais perigosos observados na selva em 2020 e lembrou a comunidade de segurança que, além da tecnologia, os usuários inteligentes armados com um ceticismo saudável em relação às comunicações externas e as perguntas certas são a melhor linha de defesa.
No mundo atual da pesquisa de ameaças, o foco tende a ser na prática abertamente maliciosa de distribuição e instalação de malware em sistemas finais. Mas isso está longe de ser o quadro completo das ameaças que as organizações enfrentam. Um dos mais caros, senão o mais caro, é algo muito menos sofisticado: Business Email Compromise (BEC). O BEC pode assumir uma grande variedade de formas diferentes, mas seu objetivo é relativamente simples – enganar um usuário desavisado para dar-lhes algo. Ultimamente, vimos um aumento recente nesses tipos de ataques, com adversários ainda usando COVID-19 como um dos principais tópicos de iscas para atrair vítimas desavisadas a entregar informações pessoais e financeiras importantes.
Olhando para estimativas conservadoras, as perdas por comprometimento de e-mail comercial estão na casa dos bilhões, com o FBI afirmando que somente em 2020 as perdas se aproximaram de US $ 1,8 bilhão . Este é um empreendimento extremamente lucrativo com poucas barreiras de entrada. Outras formas de crime cibernético são mais difíceis de entrar porque o ator precisa obter o malware que eles vão distribuir e ter conhecimento suficiente para configurar e executar a infraestrutura associada – ou, pelo menos, pagar alguém que faça isso. No mínimo, isso leva uma quantidade significativa de tempo e esforço, onde o BEC remove a maioria dessas barreiras.
O comprometimento do email comercial começa como muitos crimes cibernéticos, com um email. Esses e-mails podem variar muito em conteúdo ou design, mas quase sempre são falsificados para parecer que vêm de alguém importante. A outra coisa comum é que quase sempre pedem algum tipo de ajuda. O tipo de pedido varia muito, como demonstraremos ao longo deste blog, mas o pedido resultante é sempre de natureza financeira e exigirá que o destinatário compre algo ou transfira fundos para algum lugar. Então, vamos examinar alguns exemplos do que vimos no ano passado.
É fácil ficar preso a violações espalhafatosas de grandes empresas globais. Mas a verdadeira receita está sendo gerada por ataques menores de BEC, disse o relatório.
“Embora muita atenção seja dada a ameaças mais destrutivas e agressivas, como a caça de grande porte, é o BEC que gera receitas astronômicas sem grande parte da atenção da polícia com a qual esses outros grupos têm de lidar”, explicou o relatório. “Na verdade, a probabilidade disso só aumentou na pandemia, com as pessoas confiando cada vez mais na comunicação digital.”
Ataques de BEC mais perigosos em 2020
As iscas para cartões-presente são de longe as mais populares em ataques de BEC, disse Cisco Talos. Na maioria das vezes, esses e-mails virão de um serviço gratuito como Gmail, Yahoo ou Outlook e parecerão vir de alguém importante dentro da organização. Os pedidos geralmente têm uma história triste ou dificuldade envolvida no pedido e vão tentar fazer com que a vítima compre Amazon, Google Play, iTunes e PlayStation ou outra variedade comum de cartão-presente.
A grande maioria dos e-mails do BEC que a Cisco encontrou no ano passado gira em torno de algum tipo de compra de cartão-presente. As linhas de abertura desses e-mails são normalmente algo como, “Preciso de sua ajuda com uma tarefa rápida” ou “Você tem uma conta amazon?” Essas solicitações provavelmente também estão vinculadas a algum evento extraordinário. Muitas vezes, é uma surpresa para os colaboradores ou vinculado a algum evento específico, como mostra o exemplo abaixo.
Se esses golpes soam como os clássicos e-mails do “Príncipe Nigeriano” do passado, essas iscas de phishing são semelhantes com uma distinção específica: os e-mails BEC são direcionados a indivíduos, geralmente aqueles com endereços de e-mail publicados em um site ou outros materiais da empresa.
“A quantidade e os tipos de empresas que são visadas por esses ataques são realmente impressionantes, variando de grandes corporações multinacionais a pequenos restaurantes familiares em cidades dos Estados Unidos”, disse Talos. “Encontramos exemplos de pequenos restaurantes que estão sendo visados por se passarem pelos proprietários, uma vez que a informação estava disponível em seu site”.
COVID-19 se tornou um tema popular para alguns dos invasores mais desprezíveis. Alguns pediram vales-presente para crianças órfãs devido à pandemia, que outro grupo, em uma tentativa grosseira, contatou um funcionário de uma unidade de hospício e pediu doações para um suposto paciente moribundo, com a promessa de que seria pago de volta.
“Isso realmente mostra que não há pontos baixos aos quais esses atores não vão afundar para tentar convencer as pessoas a ceder às suas demandas monetárias”, acrescentou Cisco. “Isso é ainda ilustrado pelas campanhas bem-sucedidas que analisamos e pelas maneiras como esses atores normalmente operam.”
Convencer um alvo a fornecer um número de telefone sob os auspícios de uma aquisição fraudulenta foi outra tática usada por um grupo, mais de uma vez.
A isca de aquisição pediu o número de telefone da vítima com um e-mail que parecia ter sido enviado e recebido da mesma empresa, mas um olhar mais atento mostra uma ligeira diferença entre eles.
A imagem tem o nome da empresa editado, “no entanto, você ainda pode ver o endereço de resposta no e-mail (smtp-tls-outbound-eu-gateway @ trustnet-gateway [.] Cc)”, disse a Cisco. O relatório apontou que, se o destinatário trabalhasse de fato em aquisições, o risco aumentaria significativamente.
O Cisco Talos primeiro rastreou esses ataques de BEC com tema de aquisição até 2019, mas acrescentou que há apenas um pequeno número sendo enviado a cada várias semanas.
Outra tática eficaz que os invasores de BEC implantaram contra a organização aproveitou os contratos de suporte, que geralmente servem para itens adquiridos de serviço. Os atores da ameaça abriam tíquetes de suporte ou pediam peças de reposição como forma de entrar no sistema do alvo.
“Começamos a ver uma série de e-mails em meados de 2020 com assuntos semelhantes, todos terminando em ‘Logistics Support Request’, com alguma sigla ou nome da empresa no início”, disse o relatório.
Assim que o funcionário visado respondeu, o invasor pediu o pagamento de acordo com o contrato de suporte.
“Na maioria dos exemplos que analisamos, a vítima percebeu que estava sendo enganada antes de enviar dinheiro, mas, novamente, nem sempre é o caso”, disse o relatório. “Esses atores normalmente aproveitam as plataformas de e-mail gratuitas, principalmente contas do Gmail, para conduzir essas campanhas.”
Claro, desde 2020, tem havido todos os tipos de outros temas de campanha de BEC observados por pesquisadores, incluindo iscas com material classificado para menores e uma vulnerabilidade recente, corrigida, do Microsoft Teams que fornecia acesso aos e-mails dos funcionários.
Proteções de Ataque BEC
O relatório reconheceu que a maioria dos ataques observados pelos pesquisadores do Cisco Talos foram em inglês, mas isso também está mudando. As regiões da Europa, Ásia e outras línguas estão começando a participar desses ataques, e o relatório lembra as empresas que fazem negócios em vários idiomas que sinalizem termos em cada um desses idiomas a serem filtrados.
Outra atenuação importante é marcar e-mails de fora da organização com uma tag de linha de assunto, como “[Externo]”, como um sinal para os usuários olharem seu conteúdo com ceticismo, aconselhou Cisco Talos.
Mas são os olhos treinados e perspicazes dos funcionários de uma organização que constituem a linha de defesa definitiva contra os ataques de BEC . Além do treinamento, os analistas do Cisco Talos sugeriram que os funcionários que podem identificar e impedir esses tipos de ataques devem ser aplaudidos ruidosamente dentro da organização. “Se você tem um usuário que interrompe esse tipo de campanha, recompense-o”, sugeriu o relatório. “Eles salvaram a sua empresa de muitas perdas potenciais e, ao reforçar o comportamento, esperamos que mais funcionários estejam dispostos a intervir e impedir que esses tipos de ataques ocorram.”
Fonte: Threat Post & CISCO Talos Intelligence
- Windows 10 ficou lento a cada atualização de recurso?
- Brasil sofreu 3,2 bilhões de ataques no 1Q21 segundo a Fortnet
- Qual é o futuro da cibersegurança? Análise de profundidade do ciberespaço.
- Apple lança patches urgentes para 2 falhas Zero Day
- JBS pagou US$ 11 milhões a hackers pelo ataque REvil Ransomware
- NIST Cybersecurity Framework Profile for Ransomware Risk Management
- Openbanking – Como fica a segurança que envolve seus dados financeiros?
- Polícia usa aplicativo espião criptografado e engana traficantes no mundo inteiro
- Proteção de dados pessoais e comerciais
- Usuário com treinamento é um grande aliado da segurança da informação
- Novo Epsilon Red Ransomware ataca Servidores Microsoft Exchange
- “Siloscape”: o primeiro malware a ter como alvo os contêineres do Windows
Deixe sua opinião!