Comprometimento de e-mail comercial (BEC)

O comprometimento de e-mail comercial (BEC) é um tipo de golpe de crime cibernético por e-mail no qual um invasor visa uma empresa para fraudá-la. O comprometimento de e-mail comercial é um problema grande e crescente que atinge organizações de todos os tamanhos, em todos os setores, em todo o mundo. Os golpes de BEC já expuseram as organizações a bilhões de dólares em perdas potenciais.

O comprometimento de conta de e-mail (EAC), ou controle de conta de e-mail, é uma ameaça relacionada que está se alastrando em uma era de infraestrutura baseada em nuvem. O EAC é frequentemente associado ao BEC porque as contas comprometidas são usadas em um número crescente de golpes semelhantes ao BEC (embora o EAC também seja a base de outros tipos de ataques cibernéticos).

O BEC e o EAC são difíceis de detectar e prevenir, especialmente com ferramentas antigas, produtos pontuais e ferramentas de defesa de plataformas de nuvem nativas.

O FBI define 5 tipos principais de golpes de BEC:

• Fraude do CEO: aqui, os invasores se posicionam como CEO ou executivo de uma empresa e normalmente enviam um e-mail a um indivíduo do departamento financeiro, solicitando que os fundos sejam transferidos para uma conta controlada pelo invasor.
• Comprometimento da conta: a conta de e-mail de um funcionário é invadida e usada para solicitar pagamentos a fornecedores. Os pagamentos são então enviados para contas bancárias fraudulentas pertencentes ao invasor.
• Esquema de fatura falsa: os invasores geralmente visam fornecedores estrangeiros por meio dessa tática. O golpista age como se fosse o fornecedor e solicita transferências de fundos para contas fraudulentas.
• Representação de advogado: ocorre quando um invasor se faz passar por um advogado ou representante legal. Funcionários de nível inferior são comumente alvo desses tipos de ataques, onde não se teria o conhecimento para questionar a veracidade da solicitação.
• Roubo de dados: Esses tipos de ataques geralmente visam funcionários de RH na tentativa de obter informações pessoais ou confidenciais sobre indivíduos dentro da empresa, como CEOs e executivos. Esses dados podem ser aproveitados para ataques futuros, como a fraude do CEO.

Em um esquema de BEC, o invasor se apresenta como alguém em quem o destinatário deveria confiar, geralmente um colega, chefe ou fornecedor. O remetente pede ao destinatário para fazer uma transferência eletrônica, desviar a folha de pagamento, alterar dados bancários para pagamentos futuros e assim por diante.

Os ataques de BEC são difíceis de detectar porque não usam malware ou URLs maliciosos que podem ser analisados ​​com defesas cibernéticas padrão. Em vez disso, os ataques de BEC dependem de representação e outras técnicas de engenharia social para enganar as pessoas que interagem em nome do invasor.

Devido à sua natureza direcionada e ao uso de engenharia social, investigar manualmente e corrigir esses ataques é difícil e demorado.

Os golpes de BEC usam uma variedade de técnicas de falsificações, como falsificação de domínio e domínios semelhantes. Esses ataques são eficazes porque o uso indevido de domínio é um problema complexo. Impedir a falsificação de domínio já é bastante difícil — prever todos os possíveis domínios parecidos é ainda mais difícil. E essa dificuldade só se multiplica com cada domínio de um parceiro externo que pode ser usado em um ataque de BEC para explorar a confiança dos usuários.

No EAC, o invasor obtém o controle de uma conta de e-mail legítima, permitindo que ele inicie um estilo de BEC semelhante. Mas, nesses casos, o invasor não está apenas tentando se passar por alguém — para todos os propósitos práticos, o invasor é essa pessoa.

Como o BEC e o EAC se concentram na fragilidade humana e não nas vulnerabilidades técnicas, eles exigem uma defesa centrada nas pessoas que possa prevenir, detectar e responder a uma ampla variedade de técnicas de BEC e EAC.

FASE 1 - Segmentação de lista de e-mail

Os invasores começam criando uma lista de e-mails visados. As táticas comuns incluem a pesquisa de perfis do LinkedIn, a busca de bancos de dados de e-mail comercial ou até mesmo acesso de vários sites em busca de informações de contato.

FASE 2 - Ataque de Lançamento

Os invasores começam a lançar seus ataques de BEC enviando e-mails em massa. É difícil identificar a intenção maliciosa neste estágio, pois os invasores utilizarão táticas como falsificação, domínios semelhantes e nomes de e-mail falsos.

FASE 3 - Engenharia Social

Nesta fase, os invasores se passarão por indivíduos de dentro de uma empresa, como CEOs ou outros indivíduos nos departamentos financeiros. É comum ver e-mails que solicitam respostas urgentes.

FASE 4 - Ganho Financeiro

Se os invasores conseguirem conquistar a confiança de um indivíduo, essa é normalmente a fase em que ocorre ganho financeiro ou a violação de dados.

BEC e EAC são problemas complexos que requerem defesas em multicamadas. Interromper efetivamente essas explorações significa:

• Parar a ampla gama de táticas de BEC/EAC.
• Obter visibilidade das atividades maliciosas e do comportamento do usuário, tanto em seu ambiente quanto na nuvem.
• Automatizar a detecção e a resposta a ameaças.

Uma defesa de BEC/EAC eficaz protege todos os canais que os invasores exploram. Isso inclui o e-mail corporativo, o webmail pessoal, o e-mail de parceiros de negócios, aplicativos em nuvem, seu domínio da Web, a Web e o próprio comportamento dos usuários.

Como o BEC e o EAC dependem de uma vítima disposta (embora involuntária), a visibilidade do ataque, a proteção de e-mail e a conscientização do usuário desempenham papéis importantes para uma defesa eficaz.

Treine seus usuários para procurar estes sinais de que o e-mail pode não ser o que parece:

• Executivos de alto escalão solicitando informações incomuns: quantos CEOs realmente desejam revisar a folha de pagamento e as informações fiscais de funcionários individuais? Embora a maioria de nós naturalmente responda prontamente a um e-mail de um executivo vale a pena fazer uma pausa para considerar se a solicitação por e-mail faz sentido. Um CFO pode solicitar dados de remuneração agregados ou um relatório especial, mas é menos provável que solicite dados de funcionários individuais.
• Solicitações para não se comunicar com outras pessoas: os e- mails impostores geralmente pedem ao destinatário que mantenha a solicitação confidencial ou apenas se comunique com o remetente por e-mail.
• Solicitações que ignoram os canais normais: a maioria das organizações possui sistemas de contabilidade por meio dos quais as contas e pagamentos devem ser processados, independentemente da urgência da solicitação. Quando esses canais são ignorados por um e-mail enviado diretamente de um executivo solicitando, por exemplo, que uma transferência eletrônica urgente seja concluída o mais rápido possível, o destinatário deve suspeitar.
• Problemas de linguagem e formatos de data incomuns: alguns e-mails atrativos têm gramática impecável e alguns CEOs escrevem e-mails com erros gramaticais. Mas a presença de formatos diferentes de data ou construção de frases que sugerem que um e-mail foi escrito por um falante não nativo são comuns em muitos desses ataques.
• Domínios de e-mail e endereços “Responder a” que não correspondem aos endereços do remetente: e-mails comerciais comprometidos geralmente usam endereços falsos e semelhantes e endereços que são fáceis de passarem despercebidos se o destinatário não estiver prestando atenção. (suaenpresa.com em vez de suaempresa.com, por exemplo).

A segurança robusta de e-mail, a autenticação de domínio, a proteção de conta, a inspeção de conteúdo e a conscientização do usuário devem trabalhar juntas de maneira holística.

Aqui estão algumas dicas para se proteger contra golpes de BEC e EAC e manter as organizações seguras diante desses ataques cada vez mais comuns:

• Seja suspeito. Pedir esclarecimentos, encaminhar um e-mail para TI ou verificar com um colega é melhor do que transferir centenas de milhares de dólares para uma empresa falsa na China.
• Se algo não parece certo, provavelmente não é. Incentive os funcionários a confiar em seus instintos e pergunte: “Meu CEO realmente me diria para fazer isso?” ou “Por que este fornecedor não está enviando uma fatura pelo nosso portal?”
• Desacelerar. Os invasores costumam programar suas campanhas nos períodos mais movimentados do dia por um bom motivo. Se um gerente de recursos humanos está lidando rapidamente com e-mails, é menos provável que ele pare e considere se uma determinada solicitação é suspeita.

Os e-mails impostores são criados especificamente para se passar por alguém em quem seus usuários confiam e induzi-los a enviar dinheiro ou informações pessoais para criminosos cibernéticos. A Proofpoint é o único fornecedor que pode oferecer uma solução integrada e holística que aborda todas as táticas dos invasores, fornece visibilidade das atividades maliciosas e do comportamento do usuário e automatiza a detecção e a resposta a ameaças.