No final do ano, antes dos feriados de Natal e Ano Novo, os departamentos de contabilidade de muitas empresas estão bastante ocupados, especialmente em países onde o ano fiscal está alinhado com o ano calendário. Os contadores estão atarefados com relatórios financeiros, planejando orçamentos para o próximo período fiscal e muitas outras atividades essenciais para o novo ano que se aproxima. E tudo isso sem falar na agenda pré-feriado, onde as festas corporativas são comuns e muitas vezes os colegas não têm tanta vontade de trabalhar. Então, é claro, os cibercriminosos não ignoram esta situação: eles estão enviando ativamente faturas falsas para funcionários aleatórios de empresas, na esperança de que alguém aprove o pagamento em meio a enxurrada de documentos.
Os sinais de um e-mail fraudulento
Em primeiro lugar, o próprio fato de um e-mail ter sido enviado a um funcionário aleatório, e não diretamente ao departamento de contabilidade, deveria fazer soar um alarme. Os criminosos geralmente não têm meios de obter os endereços de e-mail reais dos contadores corporativos; eles usam bancos de dados de correspondência de spam, principalmente de contatos disponíveis publicamente – portanto, esses e-mails geralmente são recebidos por funcionários de RH, relações públicas, suporte técnico e assim por diante.
Às vezes, os remetentes dos e-mails fraudulentos escrevem que perderam o endereço correto, ou cometeram um erro de digitação ao anotá-lo e então pedem para encaminhar uma fatura para a contabilidade, ou às vezes nem se preocupam em dar explicações. De qualquer forma, isso não pode ser desculpa para enviar um e-mail para um endereço aleatório. Caso a fatura seja realmente necessária para um dos funcionários da empresa, ele próprio entrará em contato com o remetente, descobrirá os motivos do atraso e, se necessário, fornecerá o endereço de e-mail do departamento responsável pelo pagamento.
Encaminhar e-mails inesperados para colegas pode fazer mais mal do que bem, pois é mais provável que um e-mail fraudulento encaminhado por um colega de trabalho funcione. Se você encaminhar uma fatura aos contadores, eles poderão pensar que você deseja que ela seja paga. E, em geral, um e-mail de um funcionário da mesma empresa levanta menos suspeitas do que uma correspondência externa.
Em segundo lugar, os criminosos entendem que exigir uma grande quantia é uma má ideia. É menos provável que tal fatura seja paga sem consultas adicionais. É por isso que emitem faturas de valores relativamente pequenos – insignificantes para os padrões de uma grande empresa.
Em terceiro lugar, na grande maioria dos casos, este tipo de fatura refere-se a serviços de entrega. Além disso, o e-mail que o acompanha é redigido da forma mais vaga possível, de modo que nem sempre fica claro se a fatura foi emitida diretamente pelo remetente de alguns documentos ou pela empresa de entrega.
Com o que os golpistas contam?
Como mencionado anteriormente, os criminosos contam com a grande carga de trabalho de final de ano, a desatenção geral das pessoas e a “ajuda” de não especialistas no encaminhamento desses e-mails para o departamento de contabilidade. Mas a principal razão pela qual tais esquemas funcionam é a impunidade. Em geral, eles não têm medo das consequências legais. Os fraudadores registram uma empresa real e enviam faturas. Legalmente, este é um serviço pago, mas não prestado. No entanto, se alguém levasse isso a tribunal, provavelmente seria considerado culpado. Mas será que alguém irá buscar a justiça por causa de quantias tão pequenas de dinheiro?
Se você tentar pesquisar na internet pelo nome da empresa que emitiu a fatura, provavelmente encontrará uma série de comentários indignados de empresas que foram enganadas de forma semelhante. Presumivelmente, de tempos em tempos, os criminosos alteram a entidade corporativa desses pequenos vultos – fechando uma empresa por meio de falência e abrindo outra.
Como se manter seguro?
Para começar, é altamente recomendável usar soluções de segurança com tecnologias antiSpam eficazes a nível de gateway do e-mail corporativo. Geralmente, os invasores enviam essas mensagens em grandes quantidades, o que nos permite classificá-las como spam em tempo hábil.
Além disso, você deve informar aos funcionários que um e-mail recebido inesperadamente de alguém desconhecido exigindo um pagamento ou dados pessoais é definitivamente uma mensagem suspeita. E se quiserem encaminhar para algum lugar, deverão encaminhá-lo apenas para o departamento de segurança da informação com o comentário “possível fraude”.
Idealmente, é uma boa ideia aumentar periodicamente a conscientização sobre segurança dos funcionários; por exemplo, usando a solução automatizada online Kaspersky Automated Security Awareness Platform. Isso permitiria que os funcionários estivessem preparados para e-mails inesperados de invasores, sejam eles simples mensagens de spam fraudulentas ou ataques sofisticados de spearphishing.