Os ataques de Comprometimento de E-mail Empresarial (em inglês, Business Email Compromise – BEC) são um novo tipo de golpe de e-mail mais sofisticado e efetivo que tem afetado empresas em todo o mundo. Dados do FBI divulgados no início de junho mostram que os cibercriminosos já tentaram roubar US$ 3,1 bilhões (bem mais que os US$ 2,1 bilhões de quatro meses atrás).
O BEC é um tipo de spear phishing mais sofisticado. Neste cenário, os criminosos se apresentam como executivos de empresas e solicitam a subordinados que eles efetuem transferências bancária ou façam algo similar. Como o remetente é supostamente conhecido e o endereço de e-mail é geralmente igual ao do executivo, fica fácil iludir a vítima para que cumpra o que é pedido no e-mail.
O ataque começa com pequenas ações de reconhecimento pelo cibercriminoso, em que ele aprende detalhes-chave da vida da vítima, como as empresas são estruturadas e quem deve ser o alvo para tornar a ação o mais convincente possível. Eles então comprometem a conta de e-mail do funcionário escolhido para saber mais sobre a empresa, como horários de viagens, mídias sociais e página da organização.
Depois de descobrir por quem vão tentar se passar, quem será o alvo e como tornar a mensagem convincente, os hackers podem passar a controlar o fluxo de e-mail da conta invadida para evitar a detecção. Em seguida, basta enviar uma mensagem ao funcionário responsável pedindo uma transferência bancária que, provavelmente, será feita.
Empresas são alvo fácil
Parte desse problema se deve à divulgação pela própria empresa de informações sobre seus funcionários. Nomes de executivos e e-mails aparecem em redes sociais como LinkedIn, eventos, textos de blog, entre outros.
Além disso, dificilmente há regras internas que dizem aos funcionários o que pode ser publicado nas redes sociais. Mesmo sem querer, eles acabam dando informações demais sobre seus departamentos e a estrutura organizacional da empresa. Assim, os hackers não têm muitas dificuldades na hora de determinar quem será o alvo.
Outro ponto importante é que boa parte das comunicações financeiras nas empresas é feita por e-mail e os cibercriminosos sabem disso. Com o e-mail tendo tanta importância nesse tipo de transação, basta invadi-lo para que qualquer solução de segurança seja inútil na detecção de uma ameaça.
Transferências precisam de maior controle
Independente do quanto as empresas invistam em cibersegurança e controles, o problema vai além da falta de tecnologia, pois tem origem em um processo de negócio problemático.
Transferências de dinheiro não deveriam depender apenas do e-mail para serem aprovadas. As empresas precisam de outras maneiras de validar e autenticar esse tipo de ação, mesmo que o e-mail seja de um importante executivo.
Os funcionários devem estar atentos a esse tipo de ação e a empresa deve criar novos protocolos que obriguem os empregados e confirmar informações por outros meios. Um único telefonema, por exemplo, pode impedir que milhões sejam perdidos em uma única transação.
* Cleber Marques é diretor da KSecurity
