Por e-mail, hackers tentam se passar por CEOs de empresas

De repente, um dos colaboradores recebe um e-mail que, a princípio, veio do CEO pedindo o envio de dados sensíveis ou pedindo a transferência de fundos. No calor do momento, buscando atender imediatamente um pedido direto do CEO, o funcionário pode responder sem pensar.

Comprometimento de E-mail Empresarial (BEC na sigla em inglês), está criando consideráveis oportunidades para os cibercriminosos ganharem dinheiro por meio de atividades maliciosas, e a sofisticação e velocidade destas infiltrações fazem delas um problema difícil de ser evitado. Entretanto, com uso de inteligência artificial, é possível reconhecer que o estilo de escrita do e-mail suspeito não bate com o do CEO, evitando assim, uma fraude.

“O que faz esse tipo de ataque tão eficiente é a engenharia social empregada. Além das recomendações convencionais de proteção dos gateways como antispam, firewall e outras ferramentas é fundamental que haja treinamentos e conscientização de segurança em todos os setores da empresa que mostrem aos colaboradores esse tipo de ataque. Um simples telefona ou mensagem no smartphone pode evitar grandes perdas financeiras”, recomenda Leonardo Souza, engenheiro de vendas na Trend Micro Brasil.

Enquanto os hackers causaram uma média de US$140.000 em perdas há dois anos, os criminosos que apostaram nos golpes de BEC têm conseguidos valores ainda maiores. Em julho de 2018, o Centro de Denúncia de Crimes de Internet do FBI apontou um aumento de 136% em perdas relacionadas ao BEC. No geral, isso significa que os criminosos conseguiram levantar um total na faixa de US$12,5 bilhões em perdas de vítimas do BEC, contando ataques nos EUA e no mundo. Este impactante número supera em US$3 bilhões a previsão dos pesquisadores da Trend Micro na publicação Paradigm Shifts: Security Predictions for 2018.

Leonardo Souza listou alguns fatores para identificar os ataques BEC:

• Uso avançado de engenharia social

Dentro das diversas artimanhas envolvidas no BEC, os hackers não se limitam a criar um e-mail genérico, com uma linguagem qualquer, e depois torcem para que dê certo. Ao invés disso, eles investem em engenharia social, criando um ataque detalhado, que aumenta as chances do alvo abrir e responder a mensagem.

• E-mails customizados

Graças ao uso criterioso de engenharia social, os cibercriminosos podem criar e-mails incrivelmente realistas, que incluem os nomes dos alvos e podem ainda parecer vir de pessoas de dentro da própria empresa. Por exemplo, um contador pode receber um e-mail fraudulento pedindo a transferência de fundos diretamente do CEO da empresa, incluindo uma versão pirata do e-mail dele e até com sua assinatura. Diante disso, é possível que quem receba o e-mail seja levado a fazer a transferência, dado o realismo do e-mail.

• Falta de links maliciosos ou anexos

Embora todo o processo de pesquisa e planejamento dos hackers seja complexo, a aplicação do golpe é muito simples. Ataques de BEC são efetivos por serem convincentes, e acabam passando sem levantar as suspeitas típicas de ataques de e-mail. “Como estes golpes não apresentam links ou anexos, eles escapam das ferramentas tradicionais”, aponta o relatório da Trend Micro.

• Impressão de urgência

Além de usar de engenharia social para incluir nomes, endereços e outros detalhes legítimos para enganar suas vítimas, os hackers também procuram passar uma sensação de urgência na mensagem para maximizar a chance de sucesso. Muitas das mensagens analisadas pela Trend Micro incluíam linguagem enfática, com termos como “urgente”, “pagamento”, “transferência”, “requisição” e outras que ajudam a dar peso à mensagem.

Esta impressão de urgência, o pedido de alguma ação ou o caráter financeiro da mensagem usada nos golpes de BEC engana as vítimas e as leva a cair na armadilha, explica a Trend Micro. Por exemplo, o cibercriminoso entra em contato com os colaboradores da empresa fingindo ser algum fornecedor, representantes de escritórios de advocacia ou mesmo o CEO e manipula o alvo para que faça a transferência de valores.

• Variedade de estilos para atingir a diversos tipos de vítimas

Em adição aos já mencionados fatores, os hackers têm uma ampla variedade de estilos de ataques e possuem a capacidade de escolher o que mais tem chance de funcionar contra determinado alvo, baseado em seus estudos de engenharia social. Por exemplo, um hacker que queira atacar o CEO de uma empresa poderia posar como um fornecedor requisitando pagamento de uma nota vencida. Já caso o alvo não tenha muitos fornecedores e que, portanto, talvez não caísse nesta abordagem, poderia tentar se passar por um funcionário do RH tentando obter informações pessoais.