.
Um novo grupo de ameaças chamado Crimson Kingsnake está se passando por empresas jurídicas reais e serviços de recuperação de dívidas para intimidar as empresas a pagar faturas vencidas falsas.
A campanha de comprometimento de e-mail comercial (BEC) da gangue do crime cibernético tem como alvo marcas nos EUA, Europa, Austrália e Oriente Médio usando táticas cegas de representação de terceiros, por meio de endereços de e-mail hospedados em domínios que se assemelham aos domínios reais das empresas e enviando e-mails que incluem o endereço real e o número de IVA das empresas representadas.
Tudo isso para reforçar a legitimidade das mensagens, de acordo com pesquisadores da empresa de segurança de e-mail em nuvem Abnormal Security. Os e-mails parecem reais e, se os alvos pesquisassem no Google os nomes dos advogados ou escritórios de advocacia, eles pareceriam legítimos.
Se um funcionário visado questionar a fatura, o grupo de ameaças às vezes enviará outro e-mail falso, supostamente de um executivo da empresa do funcionário, esclarecendo a legitimidade da fatura
Os pesquisadores da Abnormal Security dizem em um relatório que desde março, eles detectaram 92 domínios vinculados ao Crimson Kingsnake que estão se passando pelos domínios de 19 águias legais e agências de cobrança de dívidas nos EUA, Reino Unido e Austrália. Muitas das empresas são “grandes práticas multinacionais com presença global”, escrevem eles.
A campanha Crimson Kingsnake faz parte da crescente ameaça dos ataques BEC. Em um relatório sobre ameaças de e-mail no primeiro semestre do ano, a Abnormal Security descobriu que os ataques BEC aumentaram 84% ano a ano. A empresa de segurança acrescentou que o BEC continua sendo um problema de baixo volume – menos de um por 1.000 caixas de correio – em comparação com outros tipos de golpes, mas também resultou em quase US$ 2,4 bilhões em perdas em 2021.
Esse número ecoa o que o FBI relatado no início deste ano, acrescentando que havia quase 20.000 vítimas de BEC em 2021.
Os ataques cegos de representação de terceiros são um subconjunto do BEC – diferente daqueles que envolvem funcionários internos – e representaram mais da metade de todos os ataques BEC no primeiro semestre de 2022, de acordo com a Abnormal Security.
“Ao contrário de outras formas de comprometimento da cadeia de suprimentos financeira, os ataques cegos de representação de terceiros não têm uma visão direta das relações fornecedor-cliente ou transações financeiras e, em vez disso, dependem da eficácia da engenharia social pura para serem bem-sucedidos”, escrevem os pesquisadores. “Os golpistas por trás dos ataques cegos de representação estão confiando na esperança de que, como tantos outros tipos de ataques de engenharia social, um alvo não esteja prestando muita atenção ao e-mail e simplesmente cumpra a solicitação”.
Os invasores confirmam isso com faturas falsas que parecem autênticas e incluem informações da conta bancária e detalhes reais da organização que estão representando. Alguns chegam a criar cadeias de e-mail falsas com os nomes e endereços dos associados da vítima.
Em um exemplo da campanha da Crimson Kingsnake, uma empresa recebeu um e-mail de um advogado de Simon and Cromwell, um escritório de advocacia internacional com sede em Nova York, com “fatura não paga” na linha de assunto. A mensagem dizia que o advogado estava representando um cliente e “perseguindo uma fatura não paga emitida para sua empresa. Fui aconselhado a entrar em contato com você sobre esse assunto e espero que você consiga resolver isso o mais rápido possível”.
Se um alvo responde ao e-mail, o grupo de ameaça envia uma fatura em PDF falsa que inclui informações da conta de pagamento, uma conta falsa dos serviços prestados, o valor total devido e o logotipo do escritório de advocacia. Há um número de conta, número de referência da conta, detalhes da conta bancária e o ID real do IVA (imposto sobre valor agregado) da empresa, que é um número exclusivo para uma empresa tributável ou não tributável. Os números de IVA são usados no Reino Unido, Europa, Austrália e partes da Ásia.
Algumas das faturas incluem até informações sobre quem contatar em caso de dúvidas e uma “notificação de direitos”. Os detalhes e a complexidade das faturas podem significar que a Crimson Kingsnake está usando versões alteradas das faturas legítimas das empresas personificadas, escreveram os pesquisadores.
Eles acrescentaram que parte das informações coletadas lhes diz que pelo menos alguns dos membros do grupo de ameaça podem estar localizados no Reino Unido.
Se um funcionário visado questiona a fatura, o grupo de ameaças às vezes envia outro e-mail falso supostamente de um executivo da empresa do funcionário esclarecendo a legitimidade da fatura – às vezes fazendo referência a uma ação que supostamente aconteceu meses antes – e autorizando o pagamento.
Enquanto o e-mail do executivo personificado é enviado de um domínio controlado pela Crimson Kingsnake, o nome exibido inclui o e-mail do executivo entre parênteses, dando a impressão de que é de uma fonte legítima.
As empresas podem reduzir a ameaça desses golpes BEC adotando plataformas de segurança de e-mail que são mais baseadas em comportamento e sensíveis ao contexto e podem analisar identidades e contexto, de acordo com a Abnormal Security. Eles também precisam de processos robustos para pagamentos de saída, principalmente para faturas que envolvem muito dinheiro.
Como acontece com qualquer ataque de engenharia social, o treinamento de conscientização de segurança cibernética para os funcionários também é importante. ®
.
