Geralmente, contas hackeadas são usadas para distribuir spam e burlar os filtros. No entanto, uma caixa de entrada invadida pode ser usada para coisas muito mais desagradáveis, como um ataque de comprometimento de e-mail corporativo (BEC). Em agosto, uma subsidiária da Toyota Boshoku Corporation foi atacada por esse golpe, causando um dano estimado em 4 bilhões de ienes (mais de US$ 37 milhões).
O que aconteceu?
De acordo com a declaração oficial da empresa, em 6 de setembro, bem como os comentários publicados na imprensa, cibercriminosos desconhecidos lançaram um ataque BEC. O incidente ainda está sendo investigado e nenhum detalhe foi divulgado; portanto, não está claro se uma caixa de entrada hackeada foi usada ou se os golpistas simplesmente se passaram por alguém. O que sabemos é que a perda financeira foi atribuída a uma instrução de transferência bancária fraudulenta que alguém na empresa considerou legítima.
Logo após a transferência, os especialistas em segurança da Toyota perceberam que o dinheiro foi direcionado para contas externas, mas já era tarde demais para interromper a operação. Enquanto isso, a empresa está trabalhando para recuperar os fundos.
O que é um ataque BEC?
Um ataque BEC não envolve necessariamente o roubo de caixas de entrada de outras pessoas. Às vezes, os cibercriminosos tentam se passar por funcionários sêniores da empresa ou mesmo parceiros, utilizando endereços de terceiros. No entanto, o uso da conta de e-mail de uma pessoa da corporação facilita muito o ataque – afinal, um e-mail de alguém com quem você realmente troca muitas mensagens, gera muito menos suspeitas.
Para que o ataque seja bem-sucedido, é claro que o cibercriminoso deve ter excelentes habilidades de engenharia social; personificar outra pessoa e convencer alguém a fazer algo não é tão fácil. Aqui, novamente, uma caixa de e-mail invadida simplifica a tarefa dos golpistas; tendo estudado o conteúdo das pastas ‘Caixa de entrada’ e ‘Itens Enviados’, eles poderão imitar o estilo e a forma de escrita da pessoa de maneira muito mais convincente.
O objetivo de um ataque do BEC nem sempre é a transferência de fundos (convencer alguém a enviar milhões de dólares não é uma tarefa muito comum). É mais habitual que os invasores tentem extrair dados confidenciais da vítima.
Outros exemplos de ataques BEC
O ataque na Toyota não é de modo algum o primeiro caso desse tipo. Neste ano, escrevemos várias vezes sobre um esquema de cibercriminosos que visava apreender as contas dos funcionários da empresa. Em maio, relatamos como os cibercriminosos enganaram um clube de futebol usando detalhes de pagamento incorretos na taxa transferência de um jogador. No mês passado, golpistas tentaram roubar US$ 2,9 milhões das Escolas Públicas de Portland (Oregon). E em julho, as Escolas do Condado de Cabarrus (Carolina do Norte) perderam US$ 1,7 milhão, após receberem instruções falsas por e-mail. Os funcionários inicialmente transferiram US$ 2,5 milhões, supostamente para a construção de uma nova escola, mas depois recuperaram parte do dinheiro.
Como evitar se tornar uma vítima
Para se proteger contra a engenharia social, apenas meios técnicos não suficientes – especialmente se os invasores são profissionais com acesso à caixa de e-mail real da pessoa que estão tentando se passar. Portanto, para evitar cair nesse tipo de golpe, recomendamos que você:
- Defina claramente o procedimento de transferência de valores da empresa para que nenhum funcionário possa fazer uma transferência para uma conta de terceiros sem supervisão. Garanta que as operações envolvendo grandes somas sejam autorizadas por vários gerentes.
- Realize treinamentos de sobre cibersegurança com os funcionários e ensine-os a serem céticos em relação aos e-mails recebidos. Nossos programas de conscientização de segurança ajudam muito nesse sentido.
- Previna o sequestro de contas de e-mail corporativas com proteção de phishing a nível do servidor de e-mails. Por exemplo, instale o Kaspersky Endpoint Security for Business Advanced.