Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é o fraude por e-mail de negócios (BEC)?
Comprometimento de e-mail comercial, ou BEC, é um golpe de spear phishing por e-mail que tenta roubar dinheiro ou dados sensíveis de uma empresa.
Em um ataque BEC, um cibercriminoso (ou gangue de cibercriminosos) envia e-mails aos funcionários da organização-alvo que parecem ser de um colega de trabalho, fornecedor, parceiro, cliente ou outro associado. Os e-mails enganam os funcionários a pagar faturas fraudulentas, transferir dinheiro para contas bancárias falsas ou divulgar informações sensíveis, como dados de clientes, propriedade intelectual ou finanças corporativas.
Em casos raros, os atacantes BEC tentam espalhar ransomware ou malware pedindo às vítimas que abram um anexo ou cliquem em um link malicioso.Eles também realizam pesquisas minuciosas sobre os funcionários que visam e as identidades que usurpam para que seus e-mails pareçam legítimos. Técnicas de engenharia social, como falsificação de endereço de e-mail e pretexto, auxiliam na criação de e-mails de ataque convincentes que parecem e soam como se fossem enviados pelo remetente falsificado.
Às vezes, os golpistas hackeiam e sequestram a conta de e-mail do remetente, tornando os e-mails de ataque ainda mais críveis, se não indistinguíveis das mensagens de e-mail legítimas.Os ataques de comprometimento de e-mail comercial estão entre os ataques cibernéticos mais caros.
De acordo com o relatório do custo das violações de dados da IBM de 2022, os golpes BEC são o segundo tipo de violação mais caro, custando em média USD 4,89 milhões. De acordo com o relatório de crimes na internet do FBI Internet Crime Complaint Center (link fora de ibm.com), os golpes BEC custaram às vítimas dos EUA um total de USD 2,7 bilhões em 2022.
Obtenha insights para se preparar e responder a ataques cibernéticos com maior velocidade e eficácia com o IBM Security X-Force Threat Intelligence Index.
Especialistas em cibersegurança e o FBI identificam seis principais tipos de ataques BEC.
Esquemas de faturas falsas
O atacante BEC finge ser um fornecedor com quem a empresa trabalha e envia ao funcionário-alvo um e-mail com uma fatura falsa anexada. Quando a empresa paga a fatura, o dinheiro vai diretamente para o atacante. Para tornar esses ataques convincentes, o atacante pode interceptar faturas reais de fornecedores e modificá-las para direcionar os pagamentos para suas próprias contas bancárias.
Notavelmente, os tribunais decidiram (link fora de ibm.com) que empresas que caem em golpes de faturas falsas ainda são responsáveis por suas contrapartes reais.
Um dos maiores golpes de faturas falsas foi realizado contra o Facebook e o Google. De 2013 a 2015, um golpista que se passou pela Quanta Computer, um fabricante de hardware real com quem ambas as empresas trabalham, roubou USD 98 milhões do Facebook e USD 23 milhões do Google. Embora o golpista tenha sido preso e ambas as empresas tenham recuperado a maior parte de seu dinheiro, esse resultado é raro para golpes BEC.
Fraude de CEO
Golpistas fingem ser executivos, geralmente um CEO, e pedem a um funcionário para transferir dinheiro para algum lugar. Este pedido é frequentemente sob o pretexto de fechar um negócio, pagar uma fatura atrasada ou até mesmo comprar cartões-presente para colegas de trabalho.
Esquemas de fraude de CEO frequentemente criam um senso de urgência, empurrando o alvo a agir rapidamente e de forma precipitada, por exemplo, "Esta fatura está atrasada e vamos perder o serviço se não a pagarmos imediatamente". Outra técnica é criar um senso de sigilo para impedir que o alvo consulte colegas de trabalho, por exemplo, "Este negócio é confidencial, então não conte a ninguém sobre isso."
Em 2016, um golpista se passando pelo CEO da fabricante aeroespacial FACC usou uma aquisição falsa para enganar um funcionário a transferir USD 47 milhões (link fora de ibm.com). Como resultado do golpe, o conselho da empresa demitiu tanto o CFO quanto o CEO por "violarem" suas funções.
Comprometimento da conta de e-mail (EAC)
Golpistas assumem o controle da conta de e-mail de um funcionário não-executivo e depois enviam faturas falsas para outras empresas ou enganam outros funcionários a compartilharem informações confidenciais. Golpistas frequentemente usam o EAC para obter as credenciais de contas de nível superior que podem usar para fraudes de CEO.
Falsificação de identidade de advogado
Golpistas se passam por advogados e pedem à vítima que pague uma fatura ou compartilhe informações sensíveis. Golpes de personificação de advogados dependem do fato de que as pessoas tendem a cooperar com advogados, e não é estranho se um advogado pedir confidencialidade.
Membros da gangue russa de BEC, Cosmic Lynx, frequentemente se passam por advogados como parte de um ataque de dupla personificação (link fora de ibm.com). Primeiro, o CEO da empresa alvo recebe um e-mail apresentando-o a um "advogado" que está ajudando a empresa com uma aquisição ou outro negócio. Então, o advogado falso envia um e-mail ao CEO solicitando que ele faça um pagamento para fechar o negócio. Em média, os ataques do Cosmic Lynx roubam USD 1,27 milhão de cada alvo.
Roubo de dados
Muitos ataques BEC visam funcionários de RH e finanças para roubar informações de identificação pessoal (PII) e outros dados sensíveis para cometer roubo de identidade ou cibercrimes.
Por exemplo, em 2017, o IRS alertou (link fora de ibm.com) sobre um golpe BEC que roubou dados de funcionários. Golpistas se passaram por executivos da empresa e pediram a um funcionário de folha de pagamento para enviar cópias dos W-2 dos funcionários (que incluem números de seguridade social e outras informações sensíveis). Alguns dos mesmos funcionários de folha de pagamento receberam e-mails de "acompanhamento" solicitando que transferências eletrônicas fossem feitas para uma conta fraudulenta. Os golpistas presumiram que os alvos que consideraram o pedido de W-2s como crível eram excelentes alvos para um pedido de transferência eletrônica.
Roubo de mercadoria
No início de 2023, o FBI alertou (link fora de ibm.com) sobre um novo tipo de ataque em que golpistas se passam por clientes corporativos para roubar produtos da empresa-alvo. Usando informações financeiras falsas e se passando por funcionários do departamento de compras de outra empresa, os golpistas negociam uma grande compra a crédito. A empresa-alvo envia o pedido—geralmente materiais de construção ou hardware de computador—mas os golpistas nunca pagam.
Tecnicamente, BEC é um tipo de spear phishing—um ataque de phishing que visa um indivíduo ou grupo específico de indivíduos. O BEC é único entre os ataques de spear phishing, visando o funcionário ou associado de uma empresa ou organização, e o golpista se passa por um colega que o alvo conhece ou em quem está inclinado a confiar.
Enquanto alguns ataques BEC são obra de golpistas solitários, outros são iniciados por gangues de BEC. Essas gangues operam como empresas legítimas, empregando especialistas como especialistas em produção de leads que caçam alvos, hackers que invadem contas de e-mail e escritores profissionais que garantem que os e-mails de phishing estejam livres de erros e sejam convincentes.
Uma vez que o golpista ou a gangue tenha escolhido uma empresa para roubar, um ataque BEC normalmente segue o mesmo padrão.
Escolhendo uma organização-alvo
Quase qualquer empresa, organização sem fins lucrativos ou governo é um alvo adequado para ataques BEC. Grandes organizações com muito dinheiro e clientes—e transações suficientes para que as explorações do BEC possam passar despercebidas entre elas—são alvos óbvios.
Mas eventos globais ou locais podem levar os atacantes BEC a oportunidades mais específicas—algumas mais óbvias do que outras. Por exemplo, durante a pandemia de COVID-19, o FBI alertou que golpistas BEC se passando por fornecedores de equipamentos e suprimentos médicos estavam emitindo faturas para hospitais e agências de saúde.
No outro extremo (mas não menos lucrativo) do espectro, em 2021, golpistas BEC aproveitaram-se de projetos de educação e construção bem divulgados em Peterborough, NH, e desviaram USD 2,3 milhões em fundos da cidade para contas bancárias fraudulentas (link fora de ibm.com).
Pesquisando alvos de funcionários e identidades de remetentes
Em seguida, os golpistas começam a pesquisar a organização-alvo e suas atividades para determinar os funcionários que receberão os e-mails de phishing e as identidades dos remetentes que os golpistas irão falsificar (impersonate).
Os golpes de BEC geralmente visam funcionários de nível médio—por exemplo, gerentes do departamento financeiro ou de recursos humanos (RH)—que têm autoridade para emitir pagamentos ou que têm acesso a dados sensíveis, e que estão inclinados a cumprir tais solicitações de um gerente ou executivo sênior. Alguns ataques BEC podem visar novos funcionários que podem ter pouco ou nenhum treinamento de conscientização sobre segurança e entendimento limitado de procedimentos e aprovações adequadas de pagamento ou compartilhamento de dados.
Para a identidade do remetente, os golpistas escolhem um colega ou associado que possa solicitar ou influenciar de maneira crível a ação que o golpista deseja que o funcionário-alvo tome. Identidades de colegas de trabalho são tipicamente gerentes de alto nível, executivos ou advogados dentro da organização.
Identidades externas podem ser executivos de organizações de fornecedores ou parceiros, mas também podem ser pares ou colegas do funcionário-alvo—por exemplo, um fornecedor com quem o funcionário-alvo trabalha regularmente, um advogado que assessora em uma transação ou um cliente existente ou novo.
Muitos golpistas usam as mesmas ferramentas de geração de leads que profissionais de marketing e vendas legítimos usam, LinkedIn e outras redes sociais, fontes de notícias de negócios e da indústria, software de prospecção e criação de listas - para encontrar possíveis alvos de funcionários e identidades de remetentes correspondentes.
Invadindo as redes do alvo e do remetente
Nem todos os atacantes BEC dão o passo de invadir as redes das organizações-alvo e remetente. Mas aqueles que o fazem se comportam como malware, observando alvos e remetentes e acumulando informações e privilégios de acesso por semanas antes do ataque real. Isso pode permitir que os invasores:
Escolham os melhores alvos de funcionários e identidades de remetentes com base em comportamentos observados e privilégios de acesso.
Saibam mais detalhes sobre como as faturas são enviadas e como os pedidos de pagamento ou dados sensíveis são tratados para melhor personificar solicitações em seus e-mails de ataque.
Determine as datas de vencimento para pagamentos específicos a fornecedores, advogados, etc.
Interceptem uma fatura legítima de fornecedor ou ordem de compra e a alterem para especificar o pagamento na conta bancária do atacante.
Assumam o controle da conta de e-mail real do remetente, permitindo que o golpista envie e-mails de ataque diretamente da conta, e às vezes até em conversas de e-mail legítimas em andamento, para a máxima autenticidade.
Preparar e lançar o ataque
Uma representação convincente é fundamental para o sucesso do BEC, e os golpistas elaboram seus e-mails de ataque para obter a máxima autenticidade e credibilidade.
Se não tiverem hackeado a conta de e-mail do remetente, os golpistas criam uma conta de e-mail falsa que falsifica o endereço de e-mail do remetente para parecer legítimo. (Por exemplo, podem usar grafias criativas do nome ou do domínio, como jsmith@company.com ou jane.smith@cornpany.com para jane.smith@company.com). Eles também podem adicionar outros elementos visuais, como uma assinatura com o logotipo da empresa do remetente ou uma declaração de privacidade detalhada (e falsa).
Um componente essencial do e-mail de ataque é o pretexto—uma história falsa, mas plausível, escrita para ganhar a confiança do alvo e convencê-lo ou pressioná-lo a fazer o que o atacante quer que ele faça. Os pretextos mais eficazes combinam uma situação reconhecível com um senso de urgência e a implicação de consequências. Uma mensagem de um gerente ou CEO que diz: "Estou prestes a embarcar em um avião—você pode me ajudar processando esta fatura (anexa) para evitar taxas de atraso?" é um exemplo clássico de um pretexto de BEC.
Dependendo da solicitação, os golpistas podem também configurar sites falsos, registrar empresas falsas ou até mesmo disponibilizar um número de telefone falso que o alvo pode ligar para confirmação.
Os golpes BEC estão entre os cibercrimes mais difíceis de prevenir porque raramente usam malware que ferramentas de segurança podem detectar. Em vez disso, os golpistas confiam em engano e manipulação. Os golpistas nem precisam invadir a empresa-alvo.
Eles podem arrancar grandes quantias das vítimas invadindo ou até mesmo se passando por um fornecedor ou cliente. Como resultado, os ataques BEC levam em média 308 dias para serem identificados e contidos, de acordo com o relatório do custo das violações de dados—o segundo maior tempo de resolução de todos os tipos de violação.
Dito isso, as empresas podem tomar as seguintes medidas para se defender contra esses golpes:
O treinamento de conscientização sobre segurança cibernética pode ajudar os funcionários a entender os perigos do compartilhamento excessivo nas plataformas de mídia social e nos aplicativos que os golpistas usam para encontrar e pesquisar seus alvos. O treinamento também pode ajudar os funcionários a identificar tentativas de BEC e adotar melhores práticas, como verificar grandes solicitações de pagamento antes de atender.
As ferramentas de segurança de e-mail podem não detectar todos os e-mails BEC, particularmente aqueles provenientes de contas comprometidas. No entanto, podem ajudar a identificar endereços de e-mail falsificados. Algumas ferramentas também podem sinalizar conteúdo de e-mail suspeito que pode indicar uma tentativa de BEC.
A autenticação de dois fatores ou multifator pode dificultar a invasão de contas de e-mail por atacantes BEC.
- Ferramentas de segurança empresarial podem ajudar as equipes de segurança a interromper ataques BEC mais rapidamente, identificando tentativas de explorar vulnerabilidades da rede e sinalizando atividades em endpoints, em contas de e-mail e em outros lugares que podem apontar para hackers fazendo reconhecimento. Essas ferramentas incluem:
Soluções relacionadas
Teste seu pessoal por meio de exercícios de phishing, vishing e engenharia social física.
O IBM Trusteer Rapport ajuda as instituições financeiras a detectar e prevenir infecções por malware e ataques de phishing, protegendo seus clientes de negócios e de varejo.
Recursos
Mantenha-se atualizado sobre notícias, tendências e técnicas de prevenção de BEC em Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.
O ransomware é um malware que mantém os dispositivos e o refém de dados das vítimas, até que um resgate seja pago.
Agora, em seu 17º ano, este relatório compartilha os últimos insights sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar perdas.