BEC: uma ameaça em constante ascensão

Em nove meses, cibercriminosos conseguiram roubar cerca de US$ 1,8 bilhão por meio do Business E-mail Compromise; para especialista, colaboradores precisam passar por um treinamento específico de conscientização a fim de treinar os olhos para identificar a prática maliciosa

Compartilhar:

No início dessa semana, o FBI anunciou a interrupção de um esquema fraudulento projetado para interceptar e sequestrar transferências eletrônicas de diversas empresas e indivíduos. Setenta e quatro prisões foram feitas, quase US$ 2,4 milhões foram apreendidos e US$ 14 milhões em operações virtuais foram recuperadas. Os números não são nada quando se comparam ao quanto esse tipo de fraude gera de prejuízo mundo afora. E o que mais preocupa é que essa ação maliciosa, conhecida como BEC (Business Email Compromise) cresce em ritmo acelerado.

 

Entre agosto de 2015 e abril de 2016, cibercriminosos conseguiram roubar cerca de US$ 1,8 bilhão por meio do BEC, mostrando que em apenas nove meses, esse tipo de ataque é capaz de causar um grande estrago para a economia global. Segundo Steve Struthers, VP Wordwide Consulting Sales da Cylance, inúmeros incidentes de Segurança ocorrem diariamente gerados por ransomware, APTs, malwares, entre outros, mas o tanto que essa fraude vem aumentando recentemente é assustador.

 

Struthers afirma que o e-mail é um dos principais vetores de ataques e muitas das informações utilizadas para enganar os alvos são disponibilizadas por elas mesmas através das redes sociais. O ciclo de atuação dos cibercriminosos se resumem a quatro estágios: identificação do alvo, pesquisa, conquistar a confiança e a extração da informação. “Muitas pessoas acreditam que esse tipo de golpe envolve apenas grandes empresas. Mas as PMEs também são muito atingidas, justamente por não terem um time de resposta a incidentes”, explica.

 

Há alguns anos, era difícil cair nesse tipo de golpe devido ao amadorismo dos cibercriminosos. Em alguns e-mails, era nítido aos olhos da maioria que se tratava de uma fraude. No entanto, os atacantes se aperfeiçoaram e mesmo quem tem os “olhos bem treinados” pode ser vítima dessa ameaça. A correria do dia a dia dificulta na identificação dos casos. Segundo Struthers, colaboradores precisam passar por um treinamento específico de conscientização a fim de treinar os olhos para identificar a prática maliciosa. “A substituição de algumas letras para o exercício criminoso é quase imperceptível”, disse. Um exemplo é a palavra “whiskey”, escrita corretamente com “W”, e “vvhiskey”, com dois “Vs”.

 

O golpe vem ganhando cada vez mais força devido ao uso intensivo das mídias sociais, especialmente do LinkedIn, quando planos pagos permitem ter acesso a executivos do alto escalão. “Atualmente, com pacotes pagos, você pode entrar em contato com alguém, solicitando informações de e-mail ou telefone”, disse Struthers.

 

Os prejuízos, reforça Struthers, vão além do financeiro: dano à reputação, perda de clientes, reconstrução da imagem da companhia, custos operacionais e jurídicos, indenizações, perda de funcionários, entre outros. Por essa razão, o executivo alerta para a importância de investir em treinamento e conscientização e deixa uma mensagem final para evitar cair nesse tipo de golpe: “Desconfie do óbvio”.

 

Conteúdos Relacionados

Security Report | Destaques

“Pessoas são o cerne da Segurança, mas conscientização ainda não é prioridade”, diz Glauco Sampaio

O CISO advisor assumiu a posição de CEO e Co-fundador da BeePhish este ano, com o objetivo de liderar uma...
Security Report | Destaques

Ransomware paralisa Lojas Marisa

Incidente iniciou-se no começo dessa semana, quando o site oficial da rede varejista foi substituído por um alerta de manutenção...
Security Report | Destaques

Sabesp alerta autoridades sobre vazamento de dados pessoais

A provedora paulista de água e saneamento básico vem enfrentando um incidente cibernético desde o fim de outubro. Em nota...
Security Report | Destaques

ANPD instaura processo contra TikTok

Em nota publicada no site oficial, a autoridade afirma que a decisão visa enfrentar irregularidades detectadas nos processos de tratamento...