Cibercriminosos se passam por CFO para enganar funcionários para transferência de fundos

Cibercriminosos usam a técnica de ciberataque Business E-mail Compromise (BEC) de difícil identificação; este esquema já custou às empresas US$ 43 bilhões de dólares desde 2016

Compartilhar:

Os pesquisadores da Avanan, empresa de segurança de colaboração e e-mail em nuvem, adquirida pela Check Point, capturaram e bloquearam um ataque cibernético que falsificou mensagem de atacante se passando por um executivo CFO (Chief Financial Officer) de uma grande organização esportiva para lucro financeiro, pois solicitava envio de dinheiro através de transferência ACH (Automated Clearing House).

 

Os atacantes tentaram enganar um funcionário da área financeira de nível hierárquico inferior para enviar fundos para uma suposta companhia de seguros. A técnica de ciberataque usada é conhecida como ataque Business E-mail Compromise (BEC), por meio da qual os cibercriminosos se passam por executivos de alto escalão de nível C (CEO, CFO e outros) para obter ganhos financeiros.

 

Os pesquisadores da Avanan alertam que esses ataques cibernéticos estão aumentando, são vistos com frequência e difíceis de parar porque muitas vezes não há malware ou links maliciosos. O corpo do texto das mensagens não é tão diferente do que é normalmente enviado. Estes ataques são tão convincentes, de fato, que o FBI (Federal Bureau of Investigation) registou US$ 43 bilhões em perdas com estes golpes entre 2016 a 2021, representando mais de 240 mil incidentes domésticos e internacionais.

 

Metodologia do ataque

 

Neste ciberataque, os cibercriminosos se passam por um CFO para obter de um funcionário a transferência de fundos.

 

– Vetor do ataque: E- mail

– Tipo: Comprometimento de e-mail comercial (BEC)

– Técnicas: Engenharia Social, Domínio Spoof

– Alvo: Qualquer usuário final

 

A metodologia do ataque cibernético usado, o de comprometimento de e-mail comercial (BEC), neste caso foi a seguinte:

 

1. O cibercriminoso criou pela primeira vez uma conta falsa do CFO da empresa.

2. O cibercriminoso encontra o endereço de e-mail legítimo de alguém da equipe financeira.

3. O cibercriminoso cria um e-mail que parece ter sido encaminhado pelo CFO, com instruções anexadas para conexão.

4. O “suposto” CFO pede ao funcionário para transferir dinheiro instantaneamente.

5. Se o funcionário executar a instrução, o dinheiro cairá na conta dos cibercriminosos.

 

O usuário recebe um e-mail do CFO de uma grande corporação. O CFO solicita ao destinatário do e-mail que efetue o pagamento a uma seguradora legítima, a West Bend Mutual. Ainda mais inteligente é o fato de que a URL no endereço ‘de’ é retirado do slogan. No entanto, isso é claramente falso, pois o endereço de “resposta” na parte superior do e-mail difere do endereço de e-mail da empresa. Ao verificar o banner, nota-se que ele mostra que o e-mail não era do remetente exibido. Isso foi adicionado pelo Office 365 genérico do locatário, não pelo Proofpoint. Essa foi a única coisa que alertou o usuário final de que algo estava errado.

 

Este é um e-mail quase idêntico ao primeiro exemplo e que afetou outra empresa. Na verdade, foram vistos dezenas desse tipo de ataque. Observam-se duas diferenças: Não há banner externo alertando o usuário final sobre perigo potencial; o e-mail “Entre em contato” na parte inferior indica “Silver Lining” como “Silver Lininng” (com um “n” a mais).

 

Uma variação sobre esse tipo de ataque aconteceu recentemente na Cisco, em que um atacante foi capaz de roubar a senha de um funcionário, em seguida fingiu ser de uma organização de confiança durante chamadas telefônicas e e-mails. Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família. A ideia é utilizar nomes e parceiros de confiança para conseguir que funcionários entreguem credenciais ou transfiram dinheiro. Sem utilizar malware, anexos ou links maliciosos, estes hacks representam o ápice da engenharia social.

 

“Descobrimos esse ataque que falsificava o e-mail do CFO de uma grande organização esportiva. O falso CFO pede a um funcionário da área financeira para enviar uma transferência eletrônica para o que parece ser uma companhia de seguros, mas iria direto para o atacante. Nesse caso, conseguimos bloquear o ataque com sucesso. Esses ataques de tipo BEC são incrivelmente populares, difíceis de serem interrompidos e identificados. Os usuários finais devem sempre ter cautela antes de efetuarem pagamentos, confirmando diretamente com o CFO sempre e antes de pagar. Duas importantes recomendações são, primeiro, que as pessoas implementem segurança avançada de e-mail que verifique mais de um fator para determinar se um e-mail é malicioso ou não; e segundo, que se certifiquem de ler atentamente o e-mail por inteiro antes de agir, procurando por quaisquer discrepâncias”, alerta Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.

 

Melhores Práticas: Orientações e Recomendações

 

Este tipo de ataque tem sido visto numa variedade de empresas e de setores. Qualquer CFO ou executivo de alto escalão é um alvo potencial. O melhor, portanto, é bloquear de forma proativa estes ataques para que os usuários finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo.

 

Para se protegerem contra estes ataques, os profissionais de segurança precisam proceder da seguinte forma:

 

• Verificar sempre os endereços de resposta para garantir que correspondam;

 

• Se alguma vez tiver dúvidas sobre um e-mail, pergunte ao remetente original;

 

• Incentivar os usuários a perguntar ao setor financeiro antes de agir sobre pagamento de faturas;

 

• Ler todo o e-mail; procurar por quaisquer inconsistências, erros de ortografia ou discrepâncias;

 

• Se utilizar banners, certificar-se de não “bombardear” os usuários finais com eles; utilizar apenas em momentos críticos para que os usuários finais os levem a sério;

 

• Implantar autenticação de múltiplos fatores para todas as contas, mas especialmente e-mail;

 

• Configurar contas para o notificar de alterações;

 

• Usar um gerenciador de senhas para criar e armazenar suas senhas — o profissional de segurança nunca deve saber sua própria senha;

 

• Lembrar os usuários de compartilhar apenas informações pessoais em tempo real, pessoalmente ou por telefone. Incentivá-los a serem céticos em relação a todas as mensagens com links e a sempre verificar com o remetente, em tempo real, quaisquer mensagens com arquivos anexados.

Conteúdos Relacionados

Security Report | Overview

Quantum e eficiência energética: quais são as previsões em SI para 2025

A acensão dos copilotos movidos por IA, redefinição da conformidade legislativa do setor e impactos climáticos da Cyber também serão...
Security Report | Overview

Grupo de threat intel detecta novo ransomware financeiro na América Latina

De acordo com análise da Cisco Talos, o BabyLockerKZ é uma variante da família de malwares MedusaLocker, e registrou aumento...
Security Report | Overview

Players anunciam parceria estratégica na Segurança de Indústria e HealthCare

Parceria visa fortalecer a proteção de infraestruturas críticas e ambientes industriais no Brasil, proporcionando às empresas uma camada adicional de...
Security Report | Overview

81% dos brasileiros que conhecem a LGPD confiam na proteção dos dados

A Pesquisa de Privacidade do Consumidor da Cisco de 2024 (Cisco Consumer Privacy Survey) revela que a maioria dos consumidores...