Comprometimento de e-mail comercial, ou BEC, é um golpe de e-mail de spear phishing que tenta roubar dinheiro ou dados confidenciais de uma empresa.
Em um ataque de BEC, um criminoso cibernético (ou gangue criminoso cibernético) envia e-mails aos funcionários da organização-alvo, que aparentam ser de um colega de trabalho ou de um fornecedor, parceiro, cliente ou outro associado.Os e-mails são elaborados para enganar os funcionários, levando-os a pagar faturas fraudulentas, fazer transferências bancárias para contas bancárias falsas ou divulgar informações sensíveis, como dados de clientes, propriedade intelectual ou informações financeiras corporativas.
Em casos mais raros, os golpistas do BEC podem tentar espalhar o ransomware ou o malware pedindo às vítimas para abrir um anexo ou clicar em um link malicioso.
Para fazer com que seus e-mails pareçam legítimos, os invasores da BEC pesquisam cuidadosamente os funcionários que têm como alvo e as identidades que fingem ser. Eles usam técnicas de engenharia social, como falsificação de endereço de e-mail e preparação, para criar e-mails de ataque que pareçam e leiam como se fossem enviados pelo remetente personificado. Em alguns casos, os golpistas realmente invadem e sequestram a conta de e-mail do remetente, tornando os e-mails de ataque ainda mais convincentes, se não virtualmente indistinguíveis das mensagens de e-mail legítimas.
Os ataques de comprometimento de e-mail corporativo são alguns dos cyberattacks mais caros. De acordo com o relatórioIBM Cost of a Data Breach 2022, os golpes de BEC são o segundo tipo mais caro de violação, custando em média USD 4,89 milhões. De acordo com o Relatório de Crimes na Internet do Centro de Reclamações sobre Crimes na Internet do FBI (PDF, o link reside fora do ibm.com) Os golpes de BEC custam às vítimas dos EUA um total de US$ 2,7 bilhões em 2022.
Especialistas em segurança cibernética e FBI identificam seis tipos principais de ataques de BEC.
Esquemas de faturas falsas
O invasor BEC finge ser um fornecedor com o qual a empresa trabalha e envia ao funcionário alvo um e-mail com uma fatura falsa anexada; quando a empresa paga a fatura, o dinheiro vai direto para o atacante. Para tornar esses ataques convincentes, o atacante pode interceptar faturas de fornecedores reais e modificá-las para direcionar os pagamentos para suas próprias contas bancárias.
Notavelmente, os tribunais decidiram (o link externo ao site ibm.com) que as empresas que caem em faturas falsas ainda são responsáveis por suas contrapartes reais.
Um dos maiores golpes de faturas falsas foi realizado contra o Facebook e o Google.De 2013 a 2015, a Scammer se passou pela Quanta Computer, um fabricante de hardware real com o qual ambas as empresas trabalham, e roubou USD 98 milhões do Facebook e USD 23 milhões do Google.Embora o golpista tenha sido capturado e ambas as empresas tenham recuperado a maior parte de seu dinheiro, esse resultado é raro para os golpes de BEC.
Fraude de CEO
Os golpistas fingem ser executivos, geralmente um CEO, e pedem a um funcionário que transfira dinheiro para algum lugar, geralmente sob o pretexto de fechar um negócio, pagar uma fatura vencida ou até mesmo comprar vales-presente para colegas de trabalho.
Os esquemas de fraude do CEO frequentemente criam um senso de urgência, então o alvo deve agir de forma rápida e precipitada (por exemplo, Esta fatura está atrasada e perderemos o serviço se não a pagarmos imediatamente) ou sigilo, para que o alvo não consulte os colegas de trabalho (por exemplo, Este acordo é confidencial, então não conte a ninguém sobre isso).
Em 2016, um golpista posando como CEO do fabricante aeroespacial FACC usou uma aquisição falsa para enganar um funcionário para transferir USD 47 milhões (link externo so site de ibm.com). Como resultado do golpe, o conselho da empresa demitiu tanto o CFO quanto o CEO para "violar" suas funções.
Comprometimento da conta de e-mail (EAC)
Os golpistas assumem o controle da conta de e-mail de um funcionário não executivo. Eles podem usá-lo para enviar faturas falsas a outras empresas ou enganar outros funcionários para que compartilhem informações confidenciais. Os golpistas costumam usar o EAC para roubar credenciais de contas de nível superior que podem usar para fraudes de CEO.
Falsificação de identidade de advogado
Os golpistas que alegam ser advogados pedem que a vítima efetue um pagamento ou compartilhe informações confidenciais. Os golpes de falsificação de identidade de advogado se baseiam no fato de que muitas pessoas cooperam com advogados, e não é estranho se um advogado pede confidencialidade.
Membros da gangue russa do BEC Cosmic Lynx costumam se passar por advogados como parte de um ataque de dupla falsificação de identidade (link externo ao site ibm.com). Primeiro, o CEO da empresa-alvo recebe um e-mail apresentando o CEO a um “advogado” que auxilia a empresa em uma aquisição ou outro negócio comercial. Em seguida, o advogado falso envia um e-mail ao CEO solicitando que faça uma transferência de pagamento para finalizar o acordo. Em média, os ataques Cosmic Lynx roubam USD 1,27 milhões de cada alvo.
Roubo de dados
Muitos ataques de BEC destinam-se a funcionários de RH e finanças a roubar informações pessoais identificáveis (PII) e outros dados sensíveis que podem ser usados para cometer roubo de identidade ou realizar futuros ataques.
Por exemplo, em 2017, o IRS alertado (link reside fora de ibm.com) sobre um golpe de BEC que roubou dados de funcionários - os golpistas se passaram por um executivo da empresa e pediram a um funcionário de folha de pagamento que enviasse cópias dos W-2 dos funcionários (que incluem números de Seguro Social e outras informações sensíveis). Alguns funcionários da folha de pagamento receberam e-mails de "acompanhamento" solicitando transferências bancárias para uma conta fraudulenta.Os golpistas assumiram que os alvos que acharam a solicitação do W2 credível eram alvos excelentes para uma solicitação de transferência bancária.
Roubo de mercadoria
No início de 2023, o FBI alertado (link reside fora de ibm.com) sobre um novo tipo de ataque, no qual os golpistas se passam por clientes corporativos para roubar produtos da empresa alvo. Usando informações financeiras falsas e se passando por funcionários de outro departamento de compras de uma empresa, os golpistas negociam uma grande compra a crédito.A empresa-alvo envia o pedido - geralmente materiais de construção ou hardware de computador - mas os golpistas nunca pagam.
Tecnicamente, o BEC é um tipo de spear phishing—um ataque de phishing que tem como alvo um indivíduo ou grupo específico de indivíduos. O que torna o BEC único entre os ataques de spear phishing é que o alvo é um funcionário ou associado de uma empresa ou organização, e que o golpista finge ser outro funcionário ou associado que o alvo conhece ou está inclinado a confiar.
Enquanto alguns ataques BEC são obra de golpistas solitários, outros (veja acima) são lançados por grupos BEC. Essas gangues operam como empresas legítimas, empregando especialistas, como especialistas em geração de leads que procuram alvos, hackers que invadem contas de e-mail e redatores profissionais que garantem que os e-mails de phishing estejam livres de erros e sejam convincentes.
Uma vez que o golpista ou a gangue tenha escolhido uma empresa para roubar, um ataque BEC normalmente segue o mesmo padrão.
Escolhendo uma organização-alvo
Quase qualquer empresa, organização sem fins lucrativos ou governo é um alvo adequado para ataques BEC. Grandes organizações com muito dinheiro e clientes, e transações suficientes para que as explorações BEC possam passar despercebidas entre elas, são alvos óbvios.
Mas eventos globais ou locais podem levar os invasores de BEC a oportunidades mais específicas, algumas mais óbvias do que outras.Por exemplo, durante a pandemia de COVID-19, o FBI alertou que golpistas de BEC se passando por fornecedores de equipamentos médicos e suprimentos para faturar em cima de hospitais e agências de saúde.No outro extremo (mas não menos lucrativo) do espectro, em 2021, os golpistas do BEC se aproveitaram de projetos de educação e construção bem divulgados em Peterborough, NH, e desviaram USD 2,3 milhões em fundos municipais para contas bancárias fraudulentas (link externo ao site ibm.com ).
Pesquisando alvos de funcionários e identidades de remetentes
Em seguida, os golpistas começam a pesquisar a organização-alvo e suas atividades para determinar os funcionários que receberão os e-mails de phishing e as identidades dos remetentes que os golpistas irão falsificar (impersonate).
Os golpes de BEC normalmente visam funcionários de nível médio, por exemplo, gerentes do departamento financeiro ou de recursos humanos (RH) - que têm autoridade para emitir pagamentos ou acessar dados sensíveis e que estão inclinados a cumprir uma solicitação de um gerente sênior ou executivo. Alguns ataques de BEC podem visar novos funcionários que podem ter pouco ou nenhum treinamento em conscientização de segurança e compreensão limitada de procedimentos e aprovações adequados para pagamentos ou compartilhamento de dados.
Quanto à identidade do remetente, os golpistas escolhem um colega ou associado que possa solicitar ou influenciar de forma crível a ação que o golpista deseja que o funcionário-alvo tome. As identidades dos colegas de colegas geralmente são gerentes de alto nível, executivos ou advogados dentro da organização.As identidades externas podem ser executivos de fornecedores ou parceiros da organização, mas também podem ser pares ou colegas do funcionário-alvo, por exemplo, um fornecedor com o qual o funcionário-alvo trabalha regularmente, um advogado que assessora uma transação ou um cliente existente ou novo.
Muitos golpistas usam as mesmas ferramentas de geração de leads que profissionais de marketing e vendas legítimos usam, LinkedIn e outras redes sociais, fontes de notícias de negócios e da indústria, software de prospecção e criação de listas - para encontrar possíveis alvos de funcionários e identidades de remetentes correspondentes.
Invadindo as redes do alvo e do remetente
Nem todos os atacantes BEC dão o passo de invadir as redes das organizações do alvo e do remetente. Mas aqueles que o fazem se comportam como malware, observando os alvos e remetentes e acumulando informações e privilégios de acesso semanas antes do ataque real.Isso pode permitir que os invasores:
Escolha os melhores alvos de funcionários e identidades de remetentes com base em comportamentos observados e privilégios de acesso.
Saiba mais detalhes sobre como as faturas são enviadas e como solicitações de pagamentos ou dados sensíveis são tratados, para que possam melhor falsificar solicitações em seus e-mails de ataque
Determine as datas de vencimento para pagamentos específicos a fornecedores, advogados, etc.
Intercepte uma fatura legítima de fornecedor ou ordem de compra e alteração para especificar o pagamento na conta bancária do atacante
Assuma controle da conta de e-mail real do remetente (veja o comprometimento de contas de e-mail acima), permitindo que o golpista envie e-mails de ataque diretamente da conta e, às vezes, até mesmo os insira em conversas de e-mail legítimas em andamento, para obter a máxima autenticidade.
Preparar e lançar o ataque
Uma representação convincente é fundamental para o sucesso do BEC, e os golpistas elaboram seus e-mails de ataque para obter a máxima autenticidade e credibilidade.
Se eles não invadiram o e-mail do remetente, os golpistas criarão uma conta de e-mail falsa que falsifica o endereço de e-mail do remetente para parecer legítimo. (Por exemplo, eles podem usar erros ortográficos de nome criativo ou de domínio, como jsmith@company.com ou jane.smith@cornpany.com para jane.smith@company.com). Eles podem adicionar outros indícios visuais, como uma assinatura com o logotipo da empresa do remetente ou uma declaração de privacidade detalhada (e falsa).
Um componente essencial do e-mail de ataque é o pretexto, uma história falsa, mas plausível, escrita para ganhar a confiança do alvo e convencê-lo ou pressioná-lo a fazer o que o invasor quer que ele faça.Os pretextos mais eficazes combinam uma situação reconhecível com um senso de urgência e implicam consequências.Uma mensagem de um gerente ou CEO que diz: estou prestes a embarcar em um avião, você pode me ajudar processando esta fatura (anexa) para evitar taxas atrasadas? é um exemplo clássico de um pretexto de BEC.
Dependendo da solicitação, os golpistas também podem criar sites falsos, registrar empresas fictícias ou até mesmo fornecer um número de telefone falso para que o alvo possa ligar para confirmação.
Os golpes de BEC estão entre os cibercrimes mais difíceis de prevenir, porque raramente usam malware que ferramentas de segurança podem detectar.Em vez disso, os golpistas dependem de engano e manipulação. Os golpistas não precisam nem mesmo violar a empresa-alvo; eles podem roubar grandes quantias das vítimas violando um fornecedor ou cliente, ou mesmo apenas se fazendo passar por ele. Como resultado, os ataques de BEC levam em média 308 dias para serem identificados e contidos, de acordo com o relatório Custos de Uma Violação de Dados—o segundo tempo de resolução mais longo de todos os tipos de violações.
Dito isso, as empresas podem tomar as seguintes medidas para se defender contra esses golpes:
O treinamento de conscientização sobre segurança cibernética pode ajudar os funcionários a entender os perigos do compartilhamento excessivo nas plataformas de mídia social e nos aplicativos que os golpistas usam para encontrar e pesquisar seus alvos. O treinamento também pode ajudar os funcionários a identificar tentativas de BEC e adotar melhores práticas, como verificar grandes solicitações de pagamento antes de atender.
As ferramentas de segurança de e-mail podem não detectar todos os e-mails do BEC, especialmente aqueles provenientes de contas comprometidas.No entanto, elas podem ajudar a identificar endereços de e-mail falsificados. Algumas ferramentas também podem sinalizar conteúdo de e-mail suspeito que possa indicar uma tentativa de BEC.
Autenticação de dois fatores ou multi-fator pode dificultar o acesso de invasores de BEC a contas de e-mail.
Ferramentas de segurança corporativa , como orquestração, automação e resposta de segurança (SOAR), informações de segurança e gerenciamento de eventos (SIEM), detecção e resposta de terminais (EDR) e detecção e resposta estendidas (XDR) , podem ajudar as equipes de segurança a identificar e interromper ataques de BEC com mais rapidez, identificando tentativas de explorar vulnerabilidades de rede e sinalizando atividades em endpoints, contas de e-mail e outros locais que possam indicar que hackers estão fazendo reconhecimento.
Identifique ameaças avançadas que outros simplesmente deixam passar. O QRadar SIEM utiliza análises e IA para monitorar ameaças de inteligência, anomalias de comportamento de rede e do usuário e priorizar onde é necessária atenção imediata e remediação.
O IBM Trusteer Rapport ajuda as instituições financeiras a detectar e prevenir infecções por malware e ataques de phishing, protegendo seus clientes de negócios e de varejo.
Proteja os endpoints contra ciberataques, detecte comportamentos anômalos e remedia em tempo quase real com esta solução sofisticada, mas fácil de usar de detecção e resposta de endpoints (EDR).
Mantenha-se atualizado sobre notícias, tendências e técnicas de prevenção de BEC em Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.
O ransomware é um malware que mantém os dispositivos e o refém de dados das vítimas, até que um resgate seja pago.
Agora em seu 17º ano, este relatório compartilha as informações mais recentes sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar as perdas.