.
Uma empresa de IA de Maryland confirmou à Securities and Exchange Commission (SEC) que perdeu US$ 250.000 em um pagamento bancário mal direcionado.
No que parece ser um esquema de comprometimento de e-mail comercial (BEC), a iLearningEngines disse que um cibercriminoso não identificado invadiu seus sistemas e redirecionou um pagamento bancário de US$ 250.000 antes de excluir “vários” e-mails e fraudes.
“Quando soube do incidente, que foi contido, [iLearningEngines] ativou seu plano de resposta de segurança cibernética e lançou uma investigação interna”, diz a divulgação.
iLearningEngines fornece plataformas de automação de e-learning para instituições educacionais.
“A empresa contratou uma empresa forense reconhecida nacionalmente e outros consultores externos para avaliar e remediar a atividade não autorizada. A investigação e resposta contínua da empresa incluem avaliação contínua dos sistemas e dados afetados.”
Também disse que o pagamento não foi recuperado, nem sugeriu que estava em processo de tentativa de recuperá-lo.
BEC é um grande negócio. Segundo o FBI, mais de 21 mil reclamações foram feitas em 2023 em relação a esse tipo de fraude, superando as meras 2.825 de ransomware. No entanto, este último é provavelmente influenciado por organizações que não relatam os seus incidentes.
As perdas ajustadas dos esquemas BEC nos EUA no ano passado totalizaram mais de 2,9 mil milhões de dólares, disseram os federais.
O texto usado na divulgação do iLearningEngines é uma leitura interessante. Dizia: “Um agente de ameaça acessou ilegalmente o ambiente da empresa e certos arquivos em sua rede”, o que sugere que houve uma intrusão técnica – que não é necessariamente um requisito para uma fraude BEC bem-sucedida.
Os golpes BEC geralmente têm como alvo os funcionários dos departamentos financeiro ou contábil de uma empresa com e-mails de phishing, uma vez que são eles que têm autoridade para executar transferências eletrônicas.
Os criminosos não precisam necessariamente de acesso a uma conta de e-mail corporativa genuína para convencer a vítima a fazer essa transferência. Na verdade, é mais comum que os invasores falsifiquem endereços de e-mail com diferenças sutis em relação ao domínio legítimo, por exemplo, do que usem uma conta de e-mail corporativa genuína após a violação.
É claro que usar uma conta genuína aumentará enormemente as chances de sucesso. As organizações com medidas robustas de segurança de e-mail serão capazes de filtrar muitas tentativas de e-mail falsificado, sinalizar mensagens ou remetentes suspeitos e alertar o usuário se o domínio do remetente não for o que parece ser.
Quanto à recuperação dos fundos, não é impossível, mas é uma tarefa desafiadora que depende de ações rápidas.
A primeira parada deve ser entrar em contato diretamente com o banco da organização e seguir seus conselhos. Em seguida, siga os conselhos dos especialistas externos em segurança que foram convocados, como no caso da iLearningEngines, e depois recorra ao seguro cibernético, presumindo que a apólice da vítima cubra a fraude BEC.
Insegurança financeira e jurídica
Os investidores também foram avisados de que os US$ 250.000 roubados podem não ser o último dos custos incorridos pelo incidente, mas não se espera que tenha um impacto material nos resultados de final de ano da iLearningEngines.
“Com base nas informações disponíveis até o momento, a empresa acredita que o incidente de segurança cibernética terá um impacto material em suas operações durante o trimestre encerrado em 31 de dezembro de 2024, mas não espera que o incidente tenha um impacto material nos resultados do ano inteiro de 2024, “, diz a divulgação.
“A empresa continua sujeita a vários riscos devido ao incidente, incluindo desvio de atenção da administração, possíveis litígios, mudanças no comportamento do cliente ou investidor e escrutínio regulatório”.
Como a iLearningEngines aludiu em sua divulgação na SEC, ela não descartou a possibilidade de atenção legal e regulatória ao incidente.
Se isso acontecesse, apenas aumentaria a lista de problemas semelhantes que já enfrenta, como várias supostas ações judiciais coletivas que estão sendo construídas por advogados alegando que a empresa reportou receitas incorretamente. O litígio está focado em alegações feitas em um relatório de agosto sobre a empresa pela empresa de investimentos norte-americana Hindenburg Research, focada em “vendedores a descoberto”. A empresa nega as alegações e aponta para “extensas auditorias e revisões de terceiros por parte das principais instituições financeiras”.
A iLearningEngines, que recentemente nomeou um novo conjunto de executivos, também anunciou ontem um atraso na divulgação de seus resultados financeiros do terceiro trimestre de 2024. Reiterou que formou um “Comitê Especial do Conselho de Administração” para conduzir uma investigação independente sobre as afirmações feitas no que descreveu como um “relatório recente de vendedor a descoberto”.
O preço das ações da empresa caiu 53% após as alegações e ainda não se recuperou.
Harish Chidambaran, CEO da iLearningEngines, publicou uma longa resposta às alegações, refutando cada uma das principais afirmações de Hindenburg.
Os advogados organizadores das ações coletivas deram aos acionistas o prazo até 6 de dezembro para manifestarem seu interesse em ingressar no litígio contra a empresa. ®
.
