.
O e-mail é onipresente no local de trabalho, o que significa que – gostemos ou não – ainda é o principal método de comunicação que muitos de nós usamos para fazer as coisas.
Infelizmente, criminosos cibernéticos e golpistas estão muito cientes desse fato e tentam explorar nossa dependência de e-mail distribuindo comprometimento de e-mail comercial (BEC) e outros ataques de phishing.
Também: O que é phishing? Tudo o que você precisa saber para se proteger contra e-mails fraudulentos – e pior
De acordo com a análise de ataques de e-mail de phishing por pesquisadores da Abnormal Security, o volume de ataques BEC aumentou 81% durante o segundo semestre de 2022 em comparação com os seis meses anteriores – e o volume total de ataques cresceu 175% nos últimos dois anos.
Tentativas de phishing BEC são ataques cibernéticos que fazem com que os golpistas se apresentem como fontes legítimas, como seu chefe, um colega ou um fornecedor. Eles enganam as vítimas para que enviem grandes transferências financeiras para suas contas. E os ataques são bem-sucedidos e podem ser extremamente lucrativos para os golpistas – o FBI estima que as perdas financeiras dos ataques BEC cheguem a mais de US$ 43 bilhões até agora.
“Quando se trata de ataques por e-mail, as probabilidades estão contra sua força de trabalho. Embora os funcionários devam estar certos 100% do tempo, os agentes de ameaças precisam estar certos apenas uma vez – e eles sabem disso”, diz o relatório de ameaças de e-mail anormal.
Além de o e-mail ser um ponto fraco potencialmente vulnerável para as empresas, os pesquisadores dizem que os criminosos cibernéticos também estão tornando as campanhas BEC mais eficazes, realizando amplo reconhecimento de alvos em potencial.
Também: O que é phishing? Tudo o que você precisa saber para se proteger contra e-mails fraudulentos – e pior
Informações de sites da empresa, LinkedIn, informações financeiras divulgadas publicamente e muito mais podem ser usadas para criar mensagens de spear phishing – por exemplo, um e-mail convincente que parece ter vindo diretamente de seu chefe.
Em um incidente da vida real detalhado pela Abnormal Security, os cibercriminosos se fizeram passar pelo gerente de escritório de uma pequena empresa de gerenciamento de segurança e enviaram um e-mail ao gerente de instalações de uma empresa de distribuição de alimentos.
O e-mail perguntava sobre o status dos pagamentos de faturas pendentes e indicava que os detalhes de pagamento haviam sido alterados. O golpista assinou pedindo confirmação de que o e-mail havia sido recebido – junto com a assinatura de e-mail real do gerente do escritório, com as informações de contato e o logotipo da empresa.
Para aumentar a legitimidade da solicitação, não havia anexos maliciosos, nem links maliciosos e apenas pequenos problemas com ortografia e pontuação. O e-mail foi enviado de um endereço que parecia quase exatamente com o da empresa real que o golpista estava imitando, com uma pequena alteração que não seria perceptível a menos que alguém estivesse realmente prestando atenção.
A vítima visada foi enganada e respondeu à mensagem com as informações solicitadas – então o invasor respondeu rapidamente com as “novas” informações bancárias e pediu que todos os pagamentos futuros fossem enviados para a conta.
Quando o alvo não respondeu a essa solicitação, o invasor, ainda se passando por seu contato conhecido, enviou uma sucessão de mensagens de acompanhamento solicitando uma resposta. Pressionar as vítimas alegando que uma resposta é uma questão de urgência é uma técnica comum usada em ataques de phishing; e neste caso, essa pressão funcionou, e a vítima respondeu.
Foi nesse ponto que os analistas de segurança cibernética intervieram para garantir que nenhuma transferência fosse feita. No entanto, o incidente mostra como os invasores BEC podem ser persistentes e persuasivos – e que as empresas precisam estar preparadas para enfrentar o desafio do phishing de frente.
“Como ataques avançados de e-mail, como comprometimento de e-mail comercial, exploram contas e relacionamentos de e-mail confiáveis, as organizações precisam de segurança de e-mail que possa detectar até mesmo pequenas mudanças na atividade e no conteúdo”, disseram os pesquisadores.
Também: A maior ameaça do crime cibernético também é aquela sobre a qual ninguém quer falar
Os funcionários também devem ser instruídos sobre sinais indicadores de ataques BEC, como mensagens inesperadas que exigem urgência, especialmente se alegarem que a pessoa que recebe o e-mail não deve telefonar para o remetente, por exemplo, alegando que está em uma reunião. Essa é uma tática usada para evitar que a vítima entre em contato com o remetente de verdade e descubra que a primeira mensagem era fraudulenta.
E-mails que solicitam que você execute uma tarefa rapidamente e secretamente também devem ser vistos com suspeita – se possível, ligue para a pessoa de quem a mensagem afirma ter vindo para descobrir se é legítimo.
Você pode se preocupar com a possibilidade de estar perdendo tempo verificando – mas é melhor ter certeza de que a mensagem é legítima em vez de transferir centenas de milhares de dólares para um criminoso cibernético.
MAIS SOBRE CRIMES CIBERNÉTICOS
.
