É de extrema importância que as empresas voltem seus olhares a ataques do tipo Business Email Compromise (BEC), ou em português, ataques de Comprometimento de E-mail Corporativo. Compreender a gravidade dessa ameaça e conscientizar pessoas sobre os riscos envolvidos, são análises necessárias para se proteger contra esse golpe cibernético e os impactos que ele pode trazer para empresas de todos os tamanhos. Segundo relatório anual de crimes de internet do FBI (US), ataque BEC causaram prejuízos de mais de 2,7 bilhões de dólares em 2022 com uma média de perdas financeiras por ataque de mais de 100 mil dólares.
O BEC é uma forma altamente elaborada de golpe baseado em engenharia social que gera ganhos financeiros significativos para golpistas que se passam por executivos de decisão na empresa, bem como parceiros comerciais e/ou fornecedores. Diferente de outros ataques de e-mail, as mensagens de BEC não contêm malware ou links maliciosos. Em vez disso, seu objetivo é enganar indivíduos específicos dentro de organizações para que realizem ações prejudiciais, como transferências de dinheiro para a conta dos atacantes.
Esse tipo de ataque é bastante personalizado e envolve, muitas vezes, uma extensa pesquisa prévia sobre a organização-alvo, com estudos relacionados ao fluxo da empresa, qual o setor, tipo de comunicação e identidade visual da organização. Após análise elaborada, os criminosos se passam por figuras confiáveis, para induzir os funcionários a fornecer informações confidenciais ou realizar transações financeiras fraudulentas.
Grandes empresas de tecnologia dos Estados Unidos já perderam milhões de dólares por e-mails que vieram de supostos empregados solicitando transações bancárias. Aos poucos foram identificados rombos com milhões de dólares desviados. Empresas de tecnologia na Ásia, foram vítimas, recebendo documentos falsos em e-mails legítimos solicitando pagamentos por bens que futuramente não eram entregues.
Para empresas de pequeno porte, a situação pode ser ainda mais desafiadora. Geralmente, essas empresas possuem recursos financeiros limitados e podem não contar com equipes dedicadas de TI ou especialistas em cibersegurança. Os contatos podem ser do CEO da empresa ou colegas de trabalho, requisitando a execução de um programa, pedindo pagamento de boleto e outras ações que resultarão na invasão de qualquer sistema vulnerável.
Empresas de grande porte também enfrentam desafios significativos. Sua estrutura complexa e extensa base de funcionários podem dificultar o controle e a disseminação de informações sensíveis. Além disso, a realização de transações financeiras em grandes volumes as torna alvos atrativos para os cibercriminosos, que veem nessas empresas a oportunidade de causar danos financeiros substanciais.
Diante desse cenário, é primordial que as organizações adotem medidas proativas para proteger-se de ataques BEC. Seguem aqui algumas dicas que podem ajudar:
- Erros gramaticais: Alguns e-mails são recebidos com pequenos erros gramaticais ou ortografia não tão bem elaborada. Prestar atenção no modo como as palavras e sentenças são construídas, bem como a formatação do texto é primordial para identificar possíveis ataques.
- Padrão de e-mail empresarial: Muitas empresas possuem um padrão de texto trabalhado em seus e-mails. Identificar se a escrita construída se assemelha a forma como seu colega ou equipe de trabalho escreve, pode prevenir ações fraudulentas.
- Solicitações de emergência: Deve-se analisar com extrema precaução solicitações urgentes relacionadas à transferência de dinheiro, formatação de máquinas pela equipe de TI ou ações promovidas pela organização. Geralmente todas essas ocasiões são previamente avisadas pelo gestor, uma aprovação extraordinária, autorização de pagamentos de boletos com valores altos ou curtos divididos são bastante suspeitos.
- Identidade do remetente: Sempre verifique a identidade de quem encaminhou e-mail antes de responder com informações confidenciais. Veja se não há substituição de letras no endereço de e-mail ou se o domínio (@empresa) está correto.
- Verifique mais de uma vez: em caso de dúvida, inclua uma segunda verificação por meio de chamada de vídeo ou voz. Hoje, mesmo uma chamada de voz pode ser duvidosa com aplicação de técnicas de deepfake com Inteligência Artificial, então, se a solicitação for muito estranha você pode perguntar algo que só aquela pessoa saiba. Se há fumaça, há fogo, na dúvida não proceda com os pedidos até ter 100% de certeza.
Além da parte holística e perceptiva, a parte técnica se faz importante na rotina empresarial de qualquer funcionário. Fortalecer o sistema de segurança, utilizar autenticação de dois fatores em todas as contas de e-mails, implementar a proteção anti-malware com o famoso antivírus nas máquinas e realizar mensalmente as atualizações de segurança nos sistemas da organização, são regrinhas que devem ser seguidas pelas empresas e seus usuários.
Nunca compartilhe dados cruciais nas mídias sociais, principalmente sobre a sua vida, datas de aniversário, nome de familiares ou animais de estimação, pois levam golpistas a adivinhar suas senhas e perguntas secretas e se passar por você.
Ao receberem ataques, muitos donos de empresas não sabem como proceder, sendo assim, rastrear o suspeito é bastante importante. Denunciar o caso para a polícia também deve ser levado em conta na hora do ataque. Existem diversos canais disponíveis para relatos de golpistas cibernéticos. Por fim, avise o departamento de TI de imediato, para que eles possam bloquear futuros e-mails e ninguém seja vítima de golpes futuros.
William Benicchio, engenheiro de Vendas da Dfense Security.
