[bsa_pro_ad_space id=3 delay=8]

BEC: Por que as empresas são um alvo fácil?

Segundo Cleber Marques, diretor da KSecurity, golpe sofisticado utiliza engenharia social para iludir subordinados a acreditarem que executivos e diretores solicitaram transferências bancárias ou algo similar através de e-mail

Compartilhar:

Os ataques de Comprometimento de E-mail Empresarial (em inglês, Business Email Compromise – BEC) são um novo tipo de golpe de e-mail mais sofisticado e efetivo que tem afetado empresas em todo o mundo. Dados do FBI divulgados no início de junho mostram que os cibercriminosos já tentaram roubar US$ 3,1 bilhões (bem mais que os US$ 2,1 bilhões de quatro meses atrás).

O BEC é um tipo de spear phishing mais sofisticado. Neste cenário, os criminosos se apresentam como executivos de empresas e solicitam a subordinados que eles efetuem transferências bancária ou façam algo similar. Como o remetente é supostamente conhecido e o endereço de e-mail é geralmente igual ao do executivo, fica fácil iludir a vítima para que cumpra o que é pedido no e-mail.

O ataque começa com pequenas ações de reconhecimento pelo cibercriminoso, em que ele aprende detalhes-chave da vida da vítima, como as empresas são estruturadas e quem deve ser o alvo para tornar a ação o mais convincente possível. Eles então comprometem a conta de e-mail do funcionário escolhido para saber mais sobre a empresa, como horários de viagens, mídias sociais e página da organização.
Depois de descobrir por quem vão tentar se passar, quem será o alvo e como tornar a mensagem convincente, os hackers podem passar a controlar o fluxo de e-mail da conta invadida para evitar a detecção. Em seguida, basta enviar uma mensagem ao funcionário responsável pedindo uma transferência bancária que, provavelmente, será feita.

Empresas são alvo fácil

Parte desse problema se deve à divulgação pela própria empresa de informações sobre seus funcionários. Nomes de executivos e e-mails aparecem em redes sociais como LinkedIn, eventos, textos de blog, entre outros.

Além disso, dificilmente há regras internas que dizem aos funcionários o que pode ser publicado nas redes sociais. Mesmo sem querer, eles acabam dando informações demais sobre seus departamentos e a estrutura organizacional da empresa. Assim, os hackers não têm muitas dificuldades na hora de determinar quem será o alvo.

Outro ponto importante é que boa parte das comunicações financeiras nas empresas é feita por e-mail e os cibercriminosos sabem disso. Com o e-mail tendo tanta importância nesse tipo de transação, basta invadi-lo para que qualquer solução de segurança seja inútil na detecção de uma ameaça.

Transferências precisam de maior controle

Independente do quanto as empresas invistam em cibersegurança e controles, o problema vai além da falta de tecnologia, pois tem origem em um processo de negócio problemático.

Transferências de dinheiro não deveriam depender apenas do e-mail para serem aprovadas. As empresas precisam de outras maneiras de validar e autenticar esse tipo de ação, mesmo que o e-mail seja de um importante executivo.

Os funcionários devem estar atentos a esse tipo de ação e a empresa deve criar novos protocolos que obriguem os empregados e confirmar informações por outros meios. Um único telefonema, por exemplo, pode impedir que milhões sejam perdidos em uma única transação.

* Cleber Marques é diretor da KSecurity

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365