A técnica de ciberataque usada é conhecida como ataque BEC, na qual os cibercriminosos se passam por executivos de alto escalão de nível C
Os pesquisadores da Avanan, empresa de segurança de colaboração e e-mail em nuvem, adquirida pela Check Point® Software Technologies uma fornecedora líder de soluções de cibersegurança global, em agosto de 2021, capturaram e bloquearam um ataque cibernético que falsificou mensagem de atacante se passando por um executivo CFO (Chief Financial Officer) de uma grande organização esportiva para lucro financeiro, pois solicitava envio de dinheiro através de transferência ACH (Automated Clearing House).
Os atacantes tentaram enganar um funcionário da área financeira de nível hierárquico inferior para enviar fundos para uma suposta companhia de seguros.
A técnica de ciberataque usada é conhecida como ataque Business E-mail Compromise (BEC), por meio da qual os cibercriminosos se passam por executivos de alto escalão de nível C (CEO, CFO e outros) para obter ganhos financeiros.
Os pesquisadores da Avanan alertam que esses ataques cibernéticos estão aumentando, são vistos com frequência e difíceis de parar porque muitas vezes não há malware ou links maliciosos.
O corpo do texto das mensagens não é tão diferente do que é normalmente enviado.
Estes ataques são tão convincentes, de fato, que o FBI (Federal Bureau of Investigation) registou US$ 43 bilhões em perdas com estes golpes entre 2016 a 2021, representando mais de 240 mil incidentes domésticos e internacionais.
Metodologia do ataque
Neste ciberataque, os cibercriminosos se passam por um CFO para obter de um funcionário a transferência de fundos.
– Vetor do ataque: E- mail
– Tipo: Comprometimento de e-mail comercial (BEC)
– Técnicas: Engenharia Social, Domínio Spoof
– Alvo: Qualquer usuário final
A metodologia do ataque cibernético usado, o de comprometimento de e-mail comercial (BEC), neste caso foi a seguinte:
1. O cibercriminoso criou pela primeira vez uma conta falsa do CFO da empresa.
2. O cibercriminoso encontra o endereço de e-mail legítimo de alguém da equipe financeira.
3. O cibercriminoso cria um e-mail que parece ter sido encaminhado pelo CFO, com instruções anexadas para conexão.
4. O “suposto” CFO pede ao funcionário para transferir dinheiro instantaneamente.
5. Se o funcionário executar a instrução, o dinheiro cairá na conta dos cibercriminosos.
Exemplo 1
O usuário recebe um e-mail do CFO de uma grande corporação. O CFO solicita ao destinatário do e-mail que efetue o pagamento a uma seguradora legítima, a West Bend Mutual.
Ainda mais inteligente é o fato de que a URL no endereço ‘de’ é retirado do slogan.
No entanto, isso é claramente falso, pois o endereço de “resposta” na parte superior do e-mail difere do endereço de e-mail da empresa.
Ao verificar o banner, nota-se que ele mostra que o e-mail não era do remetente exibido. Isso foi adicionado pelo Office 365 genérico do locatário, não pelo Proofpoint.
Essa foi a única coisa que alertou o usuário final de que algo estava errado.
Exemplo 2
Este é um e-mail quase idêntico ao primeiro exemplo e que afetou outra empresa. Na verdade, foram vistos dezenas desse tipo de ataque.
Observam-se duas diferenças: Não há banner externo alertando o usuário final sobre perigo potencial; o e-mail “Entre em contato” na parte inferior indica “Silver Lining” como “Silver Lininng” (com um “n” a mais).
Uma variação sobre esse tipo de ataque aconteceu recentemente na Cisco, em que um atacante foi capaz de roubar a senha de um funcionário, em seguida fingiu ser de uma organização de confiança durante chamadas telefônicas e e-mails.
Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família.
A ideia é utilizar nomes e parceiros de confiança para conseguir que funcionários entreguem credenciais ou transfiram dinheiro. Sem utilizar malware, anexos ou links maliciosos, estes hacks representam o ápice da engenharia social.
“Descobrimos esse ataque que falsificava o e-mail do CFO de uma grande organização esportiva. O falso CFO pede a um funcionário da área financeira para enviar uma transferência eletrônica para o que parece ser uma companhia de seguros, mas iria direto para o atacante. Nesse caso, conseguimos bloquear o ataque com sucesso. Esses ataques de tipo BEC são incrivelmente populares, difíceis de serem interrompidos e identificados. Os usuários finais devem sempre ter cautela antes de efetuarem pagamentos, confirmando diretamente com o CFO sempre e antes de pagar. Duas importantes recomendações são, primeiro, que as pessoas implementem segurança avançada de e-mail que verifique mais de um fator para determinar se um e-mail é malicioso ou não; e segundo, que se certifiquem de ler atentamente o e-mail por inteiro antes de agir, procurando por quaisquer discrepâncias”, alerta Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.
Melhores Práticas: Orientações e Recomendações
Este tipo de ataque tem sido visto numa variedade de empresas e de setores. Qualquer CFO ou executivo de alto escalão é um alvo potencial.
O melhor, portanto, é bloquear de forma proativa estes ataques para que os usuários finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo.
Para se protegerem contra estes ataques, os profissionais de segurança precisam proceder da seguinte forma:
– Verificar sempre os endereços de resposta para garantir que correspondam
– Se alguma vez tiver dúvidas sobre um e-mail, pergunte ao remetente original
– Incentivar os usuários a perguntar ao setor financeiro antes de agir sobre pagamento de faturas;
– Ler todo o e-mail; procurar por quaisquer inconsistências, erros de ortografia ou discrepâncias;
– Se utilizar banners, certificar-se de não “bombardear” os usuários finais com eles; utilizar apenas em momentos críticos para que os usuários finais os levem a sério;
– Implantar autenticação de múltiplos fatores para todas as contas, mas especialmente e-mail;
– Configurar contas para o notificar de alterações;
– Usar um gerenciador de senhas para criar e armazenar suas senhas — o profissional de segurança nunca deve saber sua própria senha;
– Lembrar os usuários de compartilhar apenas informações pessoais em tempo real, pessoalmente ou por telefone. Incentivá-los a serem céticos em relação a todas as mensagens com links e a sempre verificar com o remetente, em tempo real, quaisquer mensagens com arquivos anexados.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende três pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; e Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor.
A Check Point protege mais de 100.000 organizações de todos os portes.
ESET alerta sobre ameaças dirigidas aos navegadores de internet
Cibersegurança e Internet das Coisas na era do ransomware
5 Dicas para manter a segurança do email profissional da sua empresa