Golpe com e-mail falso pode causar rombos financeiros

Segundo Latino Oliveira, gerente dos SOCs da Arcon, departamento de recursos humanos tem um papel importante na manutenção do programa de conscientização das políticas de segurança e testes para validar sua efetividade

Compartilhar:

É possível afirmar que, atualmente, existem golpes virtuais para todos os gostos. Um deles, o Comprometimento de E-mail Empresarial (Business E-mail Compromise ou BEC), segundo números do FBI, já causou US$ 3,1 bilhões de prejuízo aos cofres de empresas, só nos últimos três anos. São aproximadamente 22,1 mil vítimas em 17.642 negócios de todos os tamanhos espalhados por pelo menos 79 países.

 

É preciso lembrar que os números se referem apenas a casos reportados.  Como sempre no mundo da segurança digital a realidade sempre é bem pior.

 

E como funciona o golpe? Os criminosos se passam por funcionários do alto escalão da empresa, através de suas contas de e-mail (comprometidas) ou sutilmente parecidas (spoofing) para enganar funcionários responsáveis por movimentações financeiras. São poucas e simples as técnicas hackers utilizadas, que contrastam com o trabalho massivo de engenharia social. É claro que os blackhats fazem sua parte, estudando o negócio muito bem, identificando as transações mais comuns, os personagens da cena e fazendo tudo parecer mais uma transferência usual, com dois pontos diferentes: a urgência e o sigilo. A ação é muito similar à realidade da empresa alvo e, por isso, qualquer pessoa desatenta não perceberia.

 

O problema, nesse caso, é que os funcionários não costumam questionar as determinações da alta chefia, ainda mais se a ordem vier do CEO da corporação. Esse tipo de ataque lida justamente com sentimentos como o respeito à hierarquia, o comprimento do dever, a pressão do relógio, o desejo de agradar e o receio de questionar a solicitação de um executivo.

 

Mesmo que o cenário pareça favorável aos criminosos, não se pode esquecer da responsabilidade da equipe de cibersegurança das corporações, que precisa trabalhar para reduzir as chances do ataque acontecer, o que deve ser feito através dos devidos controles de segurança. Além disso, o departamento de recursos humanos tem um papel importante na manutenção do programa de conscientização das políticas de segurança e testes para validar sua efetividade.

 

As políticas de segurança não foram criadas para burocratizar as atividades nem tampouco atrapalhar o andamento dos projetos, mas justamente para zelar pela resiliência e saúde financeira da empresa. Todos os colaboradores precisam entender verdadeiramente o porquê e assumir a sua responsabilidade como ativo de segurança (inclusive os executivos que comumente tem excesso de privilégios).

 

As facilidades

 

Cerca de 30% das violações são causadas por falhas humanas, outras 30% causadas por negligência de funcionários ou das próprias organizações quanto à segurança de seus dados (Ponemon Institute 2016).

 

Um funcionário que atende a todos os pedidos com agilidade tem sua importância, mas precisa ter cuidado para não colocar a empresa em risco. Aquele que reflete e é capaz de questionar com os argumentos adequados pode melhorar os processos da empresa, trazer inovações e evitar perdas. Esse funcionário, sim, é fundamental.

 

Saber questionar

 

Para não ser pego em um golpe de BEC, é vital considerar os seguintes aspectos

 

– O e-mail recebido é de alguém conhecido? Se achar suspeito nem abra, verifique.

– O e-mail recebido tem a assinatura digital padrão da empresa?

– O comportamento é padrão? Há um cumprimento ou alguma abordagem diferente do usual?

– A solicitação respeita as políticas se segurança?

– A solicitação respeita as políticas de movimentações financeiras da empresa?

– A solicitação pede urgência e confidencialidade?

– A solicitação pede para confirmar por um telefone novo não conhecido?

 

Medidas preventivas

 

Além de questionar, há outras ações que podem ajudar identificar uma fraude e evitar a perda financeira:

 

– Considere a adoção de medidas extras para validação de operações financeiras, como uma validação por um telefone fixo da empresa.

– Não utilize a opção “reply to”. Utilize a opção “forward”, inclua manualmente o endereço oficial da respectiva pessoa e garanta que o destinatário é o endereço correto.

– Evite o uso de e-mails pessoais ou de plataformas gratuitas. Use contas oficiais para interações corporativas.

– Faça uso de assinatura digital sempre que possível.

 

Para os criminosos realizarem uma operação bancária que seja legal convencendo a pessoa a fazê-la de livre e espontânea vontade é muito mais fácil que burlar controles das instituições financeiras.

 

Por último, vale ressaltar que hoje temos o BEC e amanhã, certamente, teremos uma nova ameaça explorando a mesma vulnerabilidade, o ativo mais exposto, frágil e vital das organizações: as pessoas.

 

* Latino Oliveira é gerente dos Centros de Operação de Segurança da Arcon

 

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365