Conhecido por “The Florentine Banker”, esse grupo de cibercriminosos manipulava e-mails de três grandes fundos de private equity para obter elevados lucros financeiros
Os pesquisadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder global de soluções de cibersegurança, descobriram que o grupo de cibercriminosos conhecido como “The Florentine Banker” roubaram US$ 1,3 milhão em transações realizadas por três empresas britânicas de fundos de capital privado.
Durante meses, este grupo de hackers teve como principal objetivo manipular o e-mail (BEC -Business e-Mail Compromise), registar domínios similares e coletar diretamente quatro transações bancárias das quais tentaram transferir dinheiro para contas bancárias não reconhecidas.
A Check Point, a partir de uma ágil operação de emergência, permitiu a recuperação de £570 mil (um pouco mais de US$ 700 mil), embora o restante permaneça como uma perda permanente de fundos. Além disto, a empresa alerta que, levando em conta o número de domínios registrados, os cibercriminosos têm ainda mais alvos em seu radar.
No caso do roubo aos fundos de capital privado britânicos, os cibercriminosos utilizaram um total de sete diferentes domínios. Após uma análise minuciosa, a Check Point descobriu outros 39 domínios similares registados, entre os anos de 2018 e 2020, que foram utilizados para fazer com que se passassem por empresas legítimas. Os gráficos a seguir mostram os principais objetivos deste grupo por país e setor de atividade:
“As transferências eletrônicas são muito frequentes, mas, atualmente, muito mais em consequência dos pacotes de ajuda econômica para cidadãos e empresas que os governos de muitos países estabeleceram nesse período”, diz Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point.
“Em razão disto, a Check Point alerta para uma especial atenção a todas as comunicações que entram ou saem por e-mail, uma vez que este grupo de cibercriminosos pode estar por trás dessas atividades”, adverte Finkelsteen.
Como opera o grupo de cibercriminosos “The Florentine Banker”
Até o momento, os pesquisadores da Check Point ainda analisam essas atividades para determinar com exatidão a origem deste grupo de cibercriminosos.
Mesmo tendo algumas pistas, já que só interceptavam e modificavam conversas e transações em inglês, o grupo somente operava de segunda-feira à sexta-feira, e as contas bancárias fraudulentas utilizadas estavam localizadas em Hong Kong e no Reino Unido. Por outro lado, a equipe de pesquisadores conseguiu estudar o método de atuação do “The Florentine Banker”.
Após selecionar um alvo, este grupo iniciava o seu ataque por meio de uma campanha de phishing dirigida contra os responsáveis pela realização de transações econômicas, como diretores executivos e financeiros, dentro da empresa que será vítima de roubo, com o objetivo de obter as credenciais.
Para isso, os cibercriminosos começavam a direcionar esses e-mails somente a dois destinatários, mas progressivamente iam aumentando o número de alvos e variando as técnicas para obter uma visão abrangente de todo o panorama financeiro da empresa. Após isso, inicia-se a segunda etapa do ataque, que conta com cinco passos:
1. Vigilância: primeiro obtêm controle da conta de e-mail da vítima, monitoram todas as suas comunicações durante semanas ou meses para decifrar os procedimentos do negócio.
2. Controle e isolamento: o passo seguinte dos cimbercriminosos é isolar a vítima de terceiros e dos seus próprios colegas de trabalho, criando regras de spam maliciosas com o objetivo de desviar qualquer e-mail para uma pasta sob sua supervisão por meio de ataques Man-in-the-Middle.
3. Atividade em paralelo: os atacantes registam domínios com uma aparência visual similar aos sites originais das entidades envolvidas na correspondência de e-mail interceptado. Em seguida, começam a enviar mensagens a partir destes novos domínios para estabelecer ou manter uma conversação já existente, fazendo a vítima acreditar que a fonte é confiável.
4. Solicitar o dinheiro: começam a infiltrar informação de contas bancárias fraudulentas via duas técnicas: interceptando transferências legítimas ou criando novos pedidos.
5. Transferência de dinheiro: continuam a manipular a conversa até que a vítima aprove os novos dados bancários e confirme a transação. Se o banco não aceitar a transação por algum motivo, os atacantes podem resolver esses detalhes para conseguir o dinheiro.
Como as empresas devem se proteger
Os especialistas da Check Point apontam para o BEC (Business e-Mail, o tipo de ciberataque usado pelo “The Florentine Banker”) como um dos maiores riscos às empresas.
De fato, o e-mail é o vetor de ataque mais usado pelos cibercriminosos, enquanto os e-mails de phishing, que induzem os usuários a clicar num link/arquivo malicioso ou compartilhar as suas senhas, são a principal ameaça. Por este motivo, a seguir estão listadas algumas dicas para garantir a segurança:
1. Incorporar mais segurança ao e-mail: É necessário que as organizações incorporem sempre uma solução de segurança ao e-mail, desenvolvida para prevenir estes ataques automaticamente utilizando mecanismos de segurança que se atualizam continuamente.
2. Educar os seus colaboradores: prover os colaboradores de conhecimentos básicos em cibersegurança implica em contar com um maior nível de segurança.
3. Incluir sistemas de dupla autenticação: por se tratar de transferências eletrônicas, é fundamental implementar um modelo de dupla autenticação (código SMS, chamada telefônica ao responsável da conta, entre outros) para evitar perdas por roubo de identidade.
4. Comunicar clientes e parceiros: em caso de sofrer algum ataque deste tipo, informar imediatamente aos clientes e parceiros para se evitar problemas maiores. Atrasar estas comunicações beneficia o atacante.
Indo além da continuidade dos negócios para proteger o ‘novo normal’ e a segurança cibernética
Pesquisa: Check Point destaca as ciberameaças relacionadas com o COVID-19
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
©2020 Check Point Software Technologies Ltd. Todos os direitos reservados. cibercriminosos
Assistentes virtuais: tendência ou porta de entrada para cibercriminosos?
Apresente suas soluções e serviços no Crypto ID!
Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!