Comprometimento do E-mail Empresarial (BEC)

O compromisso de email empresarial (BEC) é um ataque em que um atacante obtém acesso a uma conta de email empresarial e imita a identidade do proprietário, com o objetivo de fraudar a empresa e seus funcionários, clientes ou parceiros. Muitas vezes, um atacante criará uma conta com um endereço de email quase idêntico a um na rede corporativa, confiando na confiança assumida entre a vítima e sua conta de email. O BEC é por vezes descrito como um “ataque de homem-no-email.”

Realizado por organizações criminosas transnacionais que empregam advogados, linguistas, hackers e engenheiros sociais, o comprometimento de email empresarial pode assumir várias formas. Na maioria dos casos, os burlões concentram os seus esforços nos funcionários com acesso às finanças da empresa e tentam enganá-los para realizar transferências bancárias para contas consideradas de confiança, quando na realidade o dinheiro acaba em contas pertencentes aos criminosos.

Num ataque BEC, o atacante geralmente usa a identidade de alguém numa rede corporativa para enganar o alvo ou alvos a enviar dinheiro para a conta do atacante. As vítimas mais comuns de BEC são geralmente empresas que utilizam transferências bancárias para pagar a clientes internacionais.

Embora os perpetradores de BEC usem uma combinação de táticas para enganar as suas vítimas, um plano comum envolve o atacante a ganhar acesso a uma rede empresarial utilizando um ataque de spear-phishing em conjunto com algum tipo de malware. Se o atacante permanecer indetetado, pode passar tempo a estudar todos os aspetos da organização, desde os fornecedores, aos sistemas de faturação, aos hábitos de correspondência dos executivos e outros funcionários.

Num momento apropriado — geralmente quando o funcionário que está a ser imitado está fora do escritório — o atacante enviará um email falso a um funcionário do departamento financeiro. É feito um pedido de transferência bancária imediata, geralmente para um fornecedor de confiança. O funcionário alvo pensa que o dinheiro está a ser enviado para a conta esperada, mas os números da conta foram ligeiramente alterados, e a transferência é na verdade depositada na conta controlada pelo grupo criminoso.

Se a fraude financeira não for detetada de forma atempada, muitas vezes torna-se praticamente impossível recuperar os fundos, devido a uma série de técnicas de branqueamento que transferem os fundos para outras contas.

• Falsificação de contas de email e websites: Pequenas variações em endereços legítimos (john.kelly@abccompany.com vs. john.kelley@abccompany.com) enganam as vítimas, fazendo-as pensar que contas falsas são autênticas.
• Spear-phishing: E-mails falsos que se acredita serem de um remetente de confiança levam as vítimas a revelar informações confidenciais aos perpetradores de BEC.
• Malware: Usado para infiltrar redes a fim de obter acesso a dados e sistemas internos, especialmente para visualizar emails legítimos relacionados às finanças da empresa. Essa informação é então usada para evitar levantar suspeitas de qualquer responsável financeiro quando uma transferência bancária falsificada é submetida. O malware também permite que criminosos acessem dados sensíveis das suas vítimas.

Frequentemente, as mensagens enviadas por perpetradores seguirão vários arquétipos. Conforme definido pelo FBI, existem 5 tipos principais de esquemas BEC:

• Esquema de fatura falsa: Empresas com fornecedores estrangeiros são frequentemente alvo desta tática, em que os atacantes fingem ser os fornecedores solicitando transferências de fundos para pagamentos a uma conta pertencente a fraudadores.
• Fraude do CEO: Os atacantes fazem-se passar pelo CEO da empresa ou por qualquer executivo e enviam um e-mail aos funcionários do departamento financeiro, solicitando-lhes que transfiram dinheiro para a conta que controlam.
• Comprometimento de conta: A conta de email de um executivo ou funcionário é hackeada e usada para solicitar pagamentos de faturas a fornecedores listados nos seus contactos de email. Os pagamentos são então enviados para contas bancárias fraudulentas.
• Falsificação de identidade de advogado: Um atacante irá falsificar a identidade de um advogado ou outro representante do escritório de advocacia responsável por assuntos sensíveis. Este tipo de ataque ocorre frequentemente via email ou telefone, durante o final do dia de trabalho, onde as vítimas são funcionários de nível baixo, sem o conhecimento ou autoridade para questionar a validade da comunicação.
• Roubo de dados: Os colaboradores dos departamentos de recursos humanos e contabilidade serão alvo de ataques para obter informações pessoais ou sensíveis sobre os funcionários ou executivos. Estes dados podem ser muito úteis para ataques futuros.

Existem várias maneiras de se defender contra comprometimento de email empresarial. As técnicas comuns que são empregadas incluem:

• Regras do sistema de deteção de intrusões: estas sinalizam emails com extensões que são semelhantes ao email da empresa. Por exemplo, o email legítimo de xyx_business.com sinalizaria o email fraudulento de xyz-business.com.
• Regras de email: marcam comunicações por email onde o endereço de e-mail "responder" é diferente do endereço de e-mail "de" mostrado.
• Codificação de cores: correspondência virtual para que e-mails de contas de funcionários/internas sejam de uma cor e e-mails de contas de não-funcionários/externas sejam de outra.
• Verificação de pagamento: garante segurança ao exigir autenticação adicional de dois fatores.
• Pedidos de confirmação: para transferências de fundos com algo como verificação por telefone como parte de um esquema de autenticação de dois fatores. Além disso, as confirmações podem exigir que sejam utilizados números do diretório da empresa, em vez de números fornecidos por e-mail.
• Exame cuidadoso: de todos os pedidos de transferência de fundos por e-mail para determinar se os pedidos são fora do comum.

A segurança empresarial é essencial, e um sistema de email comprometido pode prejudicar seriamente os interesses legítimos do negócio. Proteger as finanças e a privacidade de uma empresa não só capacitará os colaboradores, mas também garantirá a longevidade do negócio.