Este esquema já custou às empresas 43 mil milhões de dólares desde 2016.
A Avanan, empresa do grupo Check Point, lançou um novo relatório, onde dá conta de burlas em que os hackers se fazem passar por responsáveis de empresas, através de email, para conseguirem enganar as pessoas e lucrar com isso.
Forma de ataque
O envio de emails para burlas, é um fenómeno comum, por norma estes utilizam prémios, produtos ou outro tipo de serviços como ferramentas de ataque. Contudo, agora a atenção virou-se para a utilização de emails corporativos. Um executivo – frequentemente um CFO ou CEO – pede um favor urgente. O pagamento deve ser feito hoje; os cartões-presente devem ser comprados e enviados agora. Utilizam técnicas de engenharia social para conseguir que os colaboradores realizem uma ação que estes não querem ou devem fazer.
Vemo-los a toda a hora e são difíceis de parar porque muitas vezes não há malware ou ligações maliciosas. O corpo do texto pode não ser terrivelmente diferente do que é normalmente enviado. Estes ataques são tão convincentes, de facto, que o FBI registou 43 mil milhões de dólares em perdas com estes golpes desde 2016.
Neste caso no ataque, o CFO de uma grande empresa na área do desporto pede a alguém departamento financeiro que envie dinheiro através de transferência ACH (Automated Clearing House).
Ataque
Neste ataque, os hackers fazem-se passar por um CFO para obter um colaborador que envie os fundos.
– Vector: Email
– Tipo: Compromisso de e-mail comercial
– Técnicas: Engenharia Social, Domínio Spoof
– Alvo: Qualquer utilizador final
Exemplo de e-mail #1
O utilizador recebe um e-mail do CFO desta grande empresa. O CFO pede ao destinatário do e-mail para fazer o pagamento a uma companhia de seguros legítima, West Bend Mutual. Ainda mais inteligente é o facto de o URL no endereço ‘de’ ser retirado do seu slogan. No entanto, isto é claramente falso, uma vez que o endereço “de” no topo do e-mail difere do endereço de e-mail da empresa. Verá o banner que mostra que o e-mail não era do remetente exibido. Este foi adicionado pelo Office 365 genérico do inquilino, e não pelo Proofpoint. Foi a única coisa que alertou o utilizador final de que algo estava errado.
Exemplo de e-mail #2
Este é um e-mail quase idêntico que afetou outra empresa. De facto, temos visto dezenas deste tipo de ataques. Note-se duas diferenças: Não existe um banner externo que alerte o utilizador final para um perigo potencial; o e-mail “Get in touch” no fundo significa “Silver Lining” como “Silver Linning”.
Técnicas
Os ataques BEC são espantosamente bem-sucedidos porque jogam com os desejos das pessoas de terem um bom desempenho para os seus chefes.
Também são bem-sucedidos porque são difíceis de parar. As Secure Email Gateways não têm a informação contextual de que necessitam para parar estes ataques. Estes gateways são concebidos apenas para monitorizar os emails recebidos – pelo que não têm forma de digitalizar emails internos ou compreender o contexto ou as relações de conversação dentro de uma organização. Quando um gateway externo vê um e-mail do ‘CEO’ para o ‘CFO’, será a primeira vez que vê uma tal conversa. Enquanto uma solução interna terá visto milhares de conversas reais e internas semelhantes para a comparar, uma porta de entrada externa só pode adivinhar no contexto.
Neste ataque, uma faixa inserida por defeito de segurança era a chave. No entanto, os banners não são o “be-all, end-all”; a investigação descobriu que demasiados banners podem levar a que os utilizadores finais os ignorem.
Estamos a assistir a um aumento dramático nestes tipos de ataques. O FBI reportou um aumento de 62% nas perdas entre Julho de 2019 e Dezembro de 2021; este montante foi roubado de cerca de um quarto de milhão de incidentes reportados. Em 2021, 40 milhões de dólares das perdas estavam relacionados com a moeda criptográfica; em 2020, esse número estava mais próximo dos 10 milhões de dólares.
Uma variação sobre este ataque aconteceu recentemente na Cisco, onde um hacker foi capaz de roubar a palavra-passe de um empregado, depois fingiu ser uma organização de confiança durante chamadas telefónicas e e-mails. Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família. A ideia é utilizar nomes e parceiros de confiança para conseguir que colaboradores de entreguem dinheiro ou credenciais. Sem utilizar malware, anexos ou ligações maliciosas, estes hacks representam o ápice da engenharia social.
Este tipo de ataque tem sido visto numa variedade de empresas, numa variedade de indústrias. Qualquer CFO ou executivo superior é um alvo potencial.
O melhor, portanto, é bloquear de forma proativa estes ataques, para que os utilizadores finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo.