O comprometimento de E-mail Empresarial (BEC na sigla em inglês) está criando consideráveis oportunidades para os cibercriminosos ganharem dinheiro por meio de atividades maliciosas, e a sofisticação e velocidade destas infiltrações fazem delas um problema difícil de ser evitado.
Entretanto, com uso de inteligência artificial, é possível reconhecer que o estilo de escrita do e-mail suspeito não bate com o do CEO, evitando assim, uma fraude.
Enquanto os hackers causaram uma média de US$140.000 em perdas há dois anos, os criminosos que apostaram nos golpes de BEC têm conseguidos valores ainda maiores. Em julho de 2018, o Centro de Denúncia de Crimes de Internet do FBI apontou um aumento de 136% em perdas relacionadas ao BEC.
No geral, isso significa que os criminosos conseguiram levantar um total na faixa de US$12,5 bilhões em perdas de vítimas do BEC, contando ataques nos EUA e no mundo. Este impactante número supera em US$3 bilhões a previsão dos pesquisadores da Trend Micro na publicação Paradigm Shifts: Security Predictions for 2018.
Leonardo Souza listou alguns fatores para identificar os ataques BEC:
• Uso avançado de engenharia social
Dentro das diversas artimanhas envolvidas no BEC, os hackers não se limitam a criar um e-mail genérico, com uma linguagem qualquer, e depois torcem para que dê certo. Ao invés disso, eles investem em engenharia social, criando um ataque detalhado, que aumenta as chances do alvo abrir e responder a mensagem.
• E-mails customizados
Graças ao uso criterioso de engenharia social, os cibercriminosos podem criar e-mails incrivelmente realistas, que incluem os nomes dos alvos e podem ainda parecer vir de pessoas de dentro da própria empresa. Por exemplo, um contador pode receber um e-mail fraudulento pedindo a transferência de fundos diretamente do CEO da empresa, incluindo uma versão pirata do e-mail dele e até com sua assinatura. Diante disso, é possível que quem receba o e-mail seja levado a fazer a transferência, dado o realismo do e-mail.
• Falta de links maliciosos ou anexos
Embora todo o processo de pesquisa e planejamento dos hackers seja complexo, a aplicação do golpe é muito simples. Ataques de BEC são efetivos por serem convincentes, e acabam passando sem levantar as suspeitas típicas de ataques de e-mail. “Como estes golpes não apresentam links ou anexos, eles escapam das ferramentas tradicionais”, aponta o relatório da Trend Micro.
• Impressão de urgência
Além de usar de engenharia social para incluir nomes, endereços e outros detalhes legítimos para enganar suas vítimas, os hackers também procuram passar uma sensação de urgência na mensagem para maximizar a chance de sucesso. Muitas das mensagens analisadas pela Trend Micro incluíam linguagem enfática, com termos como “urgente”, “pagamento”, “transferência”, “requisição” e outras que ajudam a dar peso à mensagem.
Esta impressão de urgência, o pedido de alguma ação ou o caráter financeiro da mensagem usada nos golpes de BEC engana as vítimas e as leva a cair na armadilha, explica a Trend Micro. Por exemplo, o cibercriminoso entra em contato com os colaboradores da empresa fingindo ser algum fornecedor, representantes de escritórios de advocacia ou mesmo o CEO e manipula o alvo para que faça a transferência de valores.
• Variedade de estilos para atingir a diversos tipos de vítimas
Em adição aos já mencionados fatores, os hackers têm uma ampla variedade de estilos de ataques e possuem a capacidade de escolher o que mais tem chance de funcionar contra determinado alvo, baseado em seus estudos de engenharia social. Por exemplo, um hacker que queira atacar o CEO de uma empresa poderia posar como um fornecedor requisitando pagamento de uma nota vencida. Já caso o alvo não tenha muitos fornecedores e que, portanto, talvez não caísse nesta abordagem, poderia tentar se passar por um funcionário do RH tentando obter informações pessoais.