A Microsoft detetou 35 milhões de tentativas nos últimos 12 meses, que podem causar perdas de centenas de milhões de dólares.
Por Shweta Sharma
A atividade criminosa sobre o correio eletrónico empresarial (Business Email Compromisse – BEC) disparou nos últimos 12 meses, com mais de 150.000 tentativas por dia, em média, de acordo com a Unidade de Crimes Digitais (DCU) da Microsoft. “Estes ataques são notáveis pela sua ênfase na engenharia social e na arte do engano”, observa Vasu Jakkal, vice-presidente corporativo de segurança da empresa no seu blogue oficial. “Quando bem-sucedidos, custam às organizações centenas de milhões de dólares por ano”.
A Microsoft registou um aumento de 38% neste tipo de cibercrime-como-serviço (CaaS) direcionado para o correio eletrónico. Também removeu 417.678 URL de phishing exclusivos entre maio de 2022 e abril de 2023. Nesse período, a unidade investigou 35 milhões de tentativas de BEC. “Em 2022, a Equipa de Recuperação de Ativos do FBI iniciou a Cadeia de Eliminação de Fraudes Financeiras em 2.838 reclamações de BEC envolvendo transações com perdas potenciais de mais de US $ 590 milhões.”
Em vez de visar dispositivos não corrigidos para vulnerabilidades, os operadores de BEC concentram-se em alavancar o alto volume de e-mail diário e tráfego de mensagens distintas para enganar as vítimas e fazê-las compartilhar informações financeiras ou transferir fundos para contas sem saber. O seu objetivo é explorar o fluxo constante de comunicação para ganhar dinheiro de forma fraudulenta.
De acordo com o relatório, os cibercriminosos utilizam uma variedade de métodos para tentar comprometer os e-mails, que podem envolver chamadas telefónicas, mensagens de texto, e-mails ou redes sociais. Utilizam técnicas como o envio de pedidos de autenticação falsos ou fazem-se passar por indivíduos ou empresas para enganar os empregados.
Os assuntos utilizados para este engano incluem, por exemplo, folhas de pagamento, faturas, cartões de oferta e informações comerciais. Para além disso, a Microsoft notou um padrão na utilização de plataformas como a BulletProftLink por parte dos atacantes. Esta plataforma CaaS é amplamente utilizada para criar campanhas de correio eletrónico malicioso em grande escala e oferece um serviço abrangente que inclui modelos, alojamento e funções automatizadas concebidas especificamente para BEC. Além disso, os adversários que empregam este serviço recebem endereços IP que ajudam a direcionar os seus esforços de BEC.
Os profissionais de cibersegurança e da área da lei estão preocupados com o facto de estas novas táticas nos ataques BEC dificultarem a determinação da localização dos agentes da ameaça, o que poderá levar a um aumento dos ataques em grande escala.
Embora os agentes de ameaças tenham criado ferramentas especializadas para facilitar o BEC, incluindo kits de phishing e listas de endereços de correio eletrónico verificados dirigidos a líderes de topo, chefes de contas a pagar e outras funções específicas, existem métodos que as empresas podem empregar para evitar ataques e atenuar os riscos, afirma Jakkal.