É possível afirmar que, atualmente, existem golpes virtuais para todos os gostos. Um deles, o Comprometimento de E-mail Empresarial (Business E-mail Compromise ou BEC), segundo números do FBI, já causou US$ 3,1 bilhões de prejuízo aos cofres de empresas, só nos últimos três anos. São aproximadamente 22,1 mil vítimas em 17.642 negócios de todos os tamanhos espalhados por pelo menos 79 países.
É preciso lembrar que os números se referem apenas a casos reportados. Como sempre no mundo da segurança digital a realidade sempre é bem pior.
E como funciona o golpe? Os criminosos se passam por funcionários do alto escalão da empresa, através de suas contas de e-mail (comprometidas) ou sutilmente parecidas (spoofing) para enganar funcionários responsáveis por movimentações financeiras. São poucas e simples as técnicas hackers utilizadas, que contrastam com o trabalho massivo de engenharia social. É claro que os blackhats fazem sua parte, estudando o negócio muito bem, identificando as transações mais comuns, os personagens da cena e fazendo tudo parecer mais uma transferência usual, com dois pontos diferentes: a urgência e o sigilo. A ação é muito similar à realidade da empresa alvo e, por isso, qualquer pessoa desatenta não perceberia.
O problema, nesse caso, é que os funcionários não costumam questionar as determinações da alta chefia, ainda mais se a ordem vier do CEO da corporação. Esse tipo de ataque lida justamente com sentimentos como o respeito à hierarquia, o comprimento do dever, a pressão do relógio, o desejo de agradar e o receio de questionar a solicitação de um executivo.
Mesmo que o cenário pareça favorável aos criminosos, não se pode esquecer da responsabilidade da equipe de cibersegurança das corporações, que precisa trabalhar para reduzir as chances do ataque acontecer, o que deve ser feito através dos devidos controles de segurança. Além disso, o departamento de recursos humanos tem um papel importante na manutenção do programa de conscientização das políticas de segurança e testes para validar sua efetividade.
As políticas de segurança não foram criadas para burocratizar as atividades nem tampouco atrapalhar o andamento dos projetos, mas justamente para zelar pela resiliência e saúde financeira da empresa. Todos os colaboradores precisam entender verdadeiramente o porquê e assumir a sua responsabilidade como ativo de segurança (inclusive os executivos que comumente tem excesso de privilégios).
As facilidades
Cerca de 30% das violações são causadas por falhas humanas, outras 30% causadas por negligência de funcionários ou das próprias organizações quanto à segurança de seus dados (Ponemon Institute 2016).
Um funcionário que atende a todos os pedidos com agilidade tem sua importância, mas precisa ter cuidado para não colocar a empresa em risco. Aquele que reflete e é capaz de questionar com os argumentos adequados pode melhorar os processos da empresa, trazer inovações e evitar perdas. Esse funcionário, sim, é fundamental.
Saber questionar
Para não ser pego em um golpe de BEC, é vital considerar os seguintes aspectos
– O e-mail recebido é de alguém conhecido? Se achar suspeito nem abra, verifique.
– O e-mail recebido tem a assinatura digital padrão da empresa?
– O comportamento é padrão? Há um cumprimento ou alguma abordagem diferente do usual?
– A solicitação respeita as políticas se segurança?
– A solicitação respeita as políticas de movimentações financeiras da empresa?
– A solicitação pede urgência e confidencialidade?
– A solicitação pede para confirmar por um telefone novo não conhecido?
Medidas preventivas
Além de questionar, há outras ações que podem ajudar identificar uma fraude e evitar a perda financeira:
– Considere a adoção de medidas extras para validação de operações financeiras, como uma validação por um telefone fixo da empresa.
– Não utilize a opção “reply to”. Utilize a opção “forward”, inclua manualmente o endereço oficial da respectiva pessoa e garanta que o destinatário é o endereço correto.
– Evite o uso de e-mails pessoais ou de plataformas gratuitas. Use contas oficiais para interações corporativas.
– Faça uso de assinatura digital sempre que possível.
Para os criminosos realizarem uma operação bancária que seja legal convencendo a pessoa a fazê-la de livre e espontânea vontade é muito mais fácil que burlar controles das instituições financeiras.
Por último, vale ressaltar que hoje temos o BEC e amanhã, certamente, teremos uma nova ameaça explorando a mesma vulnerabilidade, o ativo mais exposto, frágil e vital das organizações: as pessoas.
* Latino Oliveira é gerente dos Centros de Operação de Segurança da Arcon
