A crescente ameaça do comprometimento de e-mail comercial (BEC) e como permanecer seguro!
Os ataques de BEC podem vir de várias formas, e os invasores por trás deles podem ter muitos alvos, desde os seus dados ou dinheiro até simplesmente causarem danos à sua reputação. Aqui estão os principais tipos de compromisso de e-mail comercial dos quais você precisa estar ciente.
# 1. Compromisso da conta interna
Esse primeiro tipo de BEC também é o mais simples de entender: é quando os hackers conseguem se conectar de maneira fraudulenta a um dos e-mails comerciais dos funcionários. Seja por preenchimento de credenciais, por técnicas de phishing ou spear-phishing ou até mesmo por ameaças internas, às vezes a conta de um funcionário pode ser invadida.
A partir daí, os hackers podem ter um dia causando todos os tipos de estragos na sua empresa. Desde o envio de dinheiro para o roubo de registos, dados importantes (incluindo inteligência para serem vendidos a concorrentes) ou credenciais para mais contas internas, há muitos danos a serem feitos.
Pode até ficar bastante sofisticado do ponto de vista técnico. Pesquisadores de segurança descobriram um trojan (Emotet) que extrai e-mails completos em vez de apenas endereços de e-mail quando consegue infetar uma máquina. Isso significa que ele pode enviar um e-mail de resposta contendo todo o arquivo de respostas dessa conversa, fazendo com que pareça super legítimo.
# 2. Joe Job
Um trabalho chamado Joe é quando hackers invadem o seu e-mail (ou apenas o imitam falsificando) para enviar e-mails para terceiros. É mais usado para propagar spam ou para enviar mensagens difamatórias do destino (o domínio de e-mail que está a ser usado ou falsificado).
O objetivo dos invasores é que as pessoas que recebem as mensagens de spam as denunciem como spam, colocando o seu domínio em uma lista negra ou causando danos à sua reputação. Por exemplo, pense em como as pessoas reagiriam se recebessem e-mails com conteúdo impróprio que parecessem vir de si. Poucos deles parariam e pensariam que talvez o seu endereço tenha sido sequestrado num ataque de emprego.
O nome desse tipo de ataque de e-mail empresarial vem de um incidente de segurança cujo alvo era o webmaster Joe Doll, de joes.com, em 1997. Quando a conta do utilizador foi removida, alegando que estava a enviar spam.
Ele enviou outra mensagem de spam com o cabeçalho “responder a” forjado para dar a impressão de que o e-mail estava a vir do webmaster. Isso resultou não apenas em deixar as pessoas com raiva, mas também levou o domínio a uma série de respostas de negação de serviço, quase derrubando-o.
Hoje, quando a técnica é usada, os hackers geralmente enviam mensagens contendo o golpe do príncipe nigeriano ou algum outro texto de spam conhecido, mas colocando os seus dados de contato como indicado para respostas.
# 3. Fraude do CEO
Nesse tipo de BEC, os hackers nem precisam ser muito técnicos ou invadir os seus sistemas. Eles podem enviar um e-mail de um endereço semelhante ao e-mail real do seu CEO ou outro executivo de alto escalão da sua empresa.
Na maioria das vezes, as pessoas realmente não verificam a ortografia do endereço de e-mail, especialmente quando parece sensível ao tempo para entregar uma resposta.
Normalmente, esses e-mails pedem a sua ajuda imediata com um assunto delicado. Como as pessoas estão dispostas e ansiosas para ajudar os outros, especialmente o seu chefe ou cliente, elas fornecem aos hackers os dados que estão a solicitar, ou fazem a transferência de dinheiro solicitada e assim por diante. Só mais tarde eles percebem que algo está errado.
# 4. Advogado / Representação de Empresa Jurídica
Em outros casos, os hackers mal intencionados apresentam-se como advogados ou firmas legais da empresa, pedindo novamente que alguns dados confidenciais (informações ou documentos) sejam fornecidos. Se eles os obtiverem, eles podem usar as informações para obter o seu objetivo final depois (roubo de dinheiro ou dados, danos à reputação e assim por diante).
Em alguns casos, eles nem precisam fazer passar por uma equipa de consultoria jurídica real da empresa. Tem sido relatado que os hackers muitas vezes inventam empresas de advocacia, e as pessoas ainda respondem positivamente a essas solicitações e caem na armadilha.
# 5. Fatura Falsa
Um dos tipos mais prejudiciais de comprometimento de e-mail comercial é aquele em que os hackers enviam uma fatura falsa, seja em seu nome para terceiros ou em nome de um parceiro do departamento de pagamentos.
Os hackers tendem a monitorar as operações de uma empresa por um longo período antes de fazer a mudança. Eles são excelentes em saber exatamente quando enviar uma fatura ou de quem, para que não pareça suspeito para as pessoas envolvidas. Se o e-mail que eles estão a usar parece legítimo, apenas a conta onde o dinheiro deve ser enviado é diferente, poucos funcionários são sábios o suficiente para suspeitar de algo errado.
Se as pessoas visadas caem, o prejuízo financeiro já é feito no momento em que a fraude é descoberta, e há pouca chance de ver esse dinheiro de volta. Em alguns casos raros, o seu banco pode anular uma transação e recuperar o dinheiro da sua empresa, mas somente se responder ao incidente de maneira muito oportuna.
# 6. Roubo de dados
Finalmente, a última forma de comprometimento de e-mail comercial que precisamos discutir é o roubo de dados por meio de um ataque BEC. Os dados da sua empresa têm um valor de mercado alto quando é um concorrente que paga pela informação. Se não estiver a vender dados, os hackers podem obter credenciais para contas bancárias para que possam esvaziá-las.
Em outros casos, pode ser apenas um ex-funcionário descontente que está a procurar causar algum dano (a chamada ameaça interna discutida acima também). Seja qual for o caso, nada de bom sairá disso.
As etapas essenciais para proteger a sua empresa do comprometimento de e-mail comercial.
Infelizmente, os ataques de comprometimento de e-mail comercial não podem ser detetados por soluções antivírus convencionais; portanto, se você confiasse apenas nisso para manter seus sistemas seguros, precisaríamos melhorar o seu jogo.
Veja o que você pode fazer a partir de agora.
Certifique-se de que todos na empresa recebam treinamento em segurança cibernética
À medida que as soluções do software anti-malware se fortalece, as coisas estão a ficar para trás em apenas um aspeto: como sempre, o fator humano. Está a tornar-se cada vez mais difícil invadir um sistema por meio de malware para roubar dinheiro ou dados, por que não confiar apenas na vulnerabilidade humana para obtê-los?
Na verdade, isso é o que os ataques de engenharia social são: o esquema depende das tendências naturais das pessoas para serem úteis, para responder à urgência, para querer valorizar, para não questionar a pessoa responsável e assim por diante. Enquanto os funcionários de uma organização responderem a essas filas e gatilhos, a parte técnica do ataque precisará apenas imitar um email. Isso é tão sofisticado quanto precisa ser.
Reveja a política de segurança da empresa e certifique-se de que todos estejam cientes disso.
Em primeiro lugar, se você não tiver uma política de segurança cibernética em toda a empresa, crie uma o mais rápido possível.
Em segundo lugar, não deixe a sua política existente apenas reunir poeira metafórica a um canto: certifique-se de que todos estejam na mesma página com o que é permitido e o que não é permitido, bem como as etapas obrigatórias para cada protocolo.
Alimento para o pensamento: as pessoas levam dispositivos para casa para trabalho remoto de vez em quando? Eles têm que seguir um protocolo específico para isso? Você tem direitos de administrador limitados para esses dispositivos? Eles precisam assinar algum conjunto de regras sobre quais regras de segurança de informações precisam obedecer?
Na maioria dos casos, para funções de trabalho que não estão diretamente envolvidas com proteção de dados ou esforços de segurança de TI, a política de segurança cibernética de uma empresa é limitada a um arquivo PDF no primeiro dia de trabalho, entre muitos outros arquivos semelhantes e muitas outras novidades para distrair. Poucas pessoas se incomodam em ler completamente as políticas de segurança das suas empresas, e muito menos em se esforçar para entender e aplicar os seus princípios.
Não é culpa de ninguém, mas as pessoas precisam de um pouco de ajuda, então comece tornando este conteúdo mais amigável. Em seguida, não se esqueça de fazer um acompanhamento ativo e periódico com funcionários novos e existentes para verificar se todos compreendem as melhores práticas de segurança da empresa.
Verifique a validade de todos os pedidos fora do comum
Sinais de aviso de que um email que você recebeu pode não ser 100% legítimo:
O pedido é irregular ou inesperado de alguma forma. Por exemplo, ele vem de alguém em posição de autoridade, mas que geralmente não envia solicitações de pagamento, ou vem de um parceiro que você não ouviu há algum tempo ou por um valor diferente do habitual.
A solicitação inclui novos detalhes de pagamento (sua conta bancária foi alterada).
O endereço de e-mail parece um pouco errado (um erro de digitação ou um domínio que não corresponde exatamente ao nome da empresa com a qual você acredita estar se comunicando).
O e-mail tem um senso de urgência: o que eles estão a pedir precisa ser feito hoje, o mais rápido possível, ou ameaça as consequências se a solicitação não for atendida.
Incentive os seus funcionários a verificar esses sinais de aviso. Crie uma cultura de vigilância, onde nunca é demais pedir a outras pessoas uma segunda opinião. Faça com que eles se sintam à vontade para perguntar diretamente ao CEO sobre isso por meio de um canal separado, se receberem uma solicitação dele ou dela.
Além disso, cultive também uma cultura de protocolos de segurança com os seus parceiros de negócios. Por exemplo, estabeleça que a pessoa de contato para cada uma delas seja previamente acordada e só possa ser alterada por meio de notificações enviadas por vários canais. Ou qualquer outra coisa que possa ajudar ambas as partes a simplificar as suas atividades e, ao mesmo tempo, ter certeza de que elas não estão sendo segmentadas pela representação criminal on-line.
O que estamos a fazer para ajudar no comprometimento de e-mail comercial
Como mencionado acima, a parte complicada dos ataques BEC é que eles não são detetáveis pelas soluções antivírus convencionais. Felizmente, também não somos uma empresa de antivírus. Estamos apenas a esforçarmo-nos para ficar por cima do jogo dos hackers, pensamos sobre o que podemos fazer para impedir de forma proativa que os seus planos se materializem.
Para ajudar a frustrar a onda de incidentes crescentes de comprometimento de e-mail corporativo, estamos a trabalhar no lançamento de um novo módulo projetado especificamente para evitar ataques de BEC. O módulo estará disponível como um produto autónomo, independentemente se optar pelo antivírus (Thor Vigilance) ou pela solução de prevenção contra malware (Thor Foresight).
Com esse novo módulo instalado nos sistemas da sua empresa, pode garantir que todos os funcionários da sua organização estejam protegidos contra ataques de comprometimento de e-mail comercial. O módulo sinalizará a todos que receberem um e-mail se o e-mail é legítimo ou não, independentemente da correção do endereço de e-mail.
Dessa forma, pode concentrar-se no que realmente impulsiona os seus negócios sem precisar de se preocupar com o comprometimento de e-mail corporativo.