Chefes de departamentos financeiros utilizados para burlar colaboradores

 Chefes de departamentos financeiros utilizados para burlar colaboradores

•  Cibercriminosos fazem-se passar por Chefes de departamentos financeiros

•  Este esquema já custou às empresas 43 mil milhões de dólares desde 2016

A Avanan, empresa pertencente à Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, lançou um novo relatório, onde dá conta de burlas em que os hackers se fazem passar por responsáveis de empresas, através de email, para conseguirem enganar as pessoas e lucrar com isso.

Forma de ataque

O envio de emails para burlas, é um fenómeno comum, por norma estes utilizam prémios, produtos ou outro tipo de serviços como ferramentas de ataque. Contudo, agora a atenção virou-se para a utilização de emails corporativos. Um executivo - frequentemente um CFO ou CEO - pede um favor urgente. O pagamento deve ser feito hoje; os cartões-presente devem ser comprados e enviados agora. Utilizam técnicas de engenharia social para conseguir que os colaboradores realizem uma ação que estes não querem ou devem fazer.

Vemo-los a toda a hora e são difíceis de parar porque muitas vezes não há malware ou ligações maliciosas. O corpo do texto pode não ser terrivelmente diferente do que é normalmente enviado. Estes ataques são tão convincentes, de facto, que o FBI registou 43 mil milhões de dólares em perdas com estes golpes desde 2016.

Neste caso no ataque, o CFO de uma grande empresa na área do desporto pede a alguém departamento financeiro que envie dinheiro através de transferência ACH (Automated Clearing House).

Ataque

Neste ataque, os hackers fazem-se passar por um CFO para obter um colaborador que envie os fundos.

- Vector: Email
- Tipo: Compromisso de e-mail comercial
- Técnicas: Engenharia Social, Domínio Spoof
- Alvo: Qualquer utilizador final


Exemplo de e-mail #1

O utilizador recebe um e-mail do CFO desta grande empresa. O CFO pede ao destinatário do e-mail para fazer o pagamento a uma companhia de seguros legítima, West Bend Mutual. Ainda mais inteligente é o facto de o URL no endereço 'de' ser retirado do seu slogan. No entanto, isto é claramente falso, uma vez que o endereço "de" no topo do e-mail difere do endereço de e-mail da empresa. Verá o banner que mostra que o e-mail não era do remetente exibido. Este foi adicionado pelo Office 365 genérico do inquilino, e não pelo Proofpoint. Foi a única coisa que alertou o utilizador final de que algo estava errado.


Exemplo de e-mail #2

Este é um e-mail quase idêntico que afetou outra empresa. De facto, temos visto dezenas deste tipo de ataques. Note-se duas diferenças: Não existe um banner externo que alerte o utilizador final para um perigo potencial; o e-mail "Get in touch" no fundo significa "Silver Lining" como "Silver Linning".

Técnicas

Os ataques BEC são espantosamente bem-sucedidos porque jogam com os desejos das pessoas de terem um bom desempenho para os seus chefes.

Também são bem-sucedidos porque são difíceis de parar. As Secure Email Gateways não têm a informação contextual de que necessitam para parar estes ataques. Estes gateways são concebidos apenas para monitorizar os emails recebidos - pelo que não têm forma de digitalizar emails internos ou compreender o contexto ou as relações de conversação dentro de uma organização. Quando um gateway externo vê um e-mail do 'CEO' para o 'CFO', será a primeira vez que vê uma tal conversa. Enquanto uma solução interna terá visto milhares de conversas reais e internas semelhantes para a comparar, uma porta de entrada externa só pode adivinhar no contexto.

Neste ataque, uma faixa inserida por defeito de segurança era a chave. No entanto, os banners não são o "be-all, end-all"; a investigação descobriu que demasiados banners podem levar a que os utilizadores finais os ignorem.

Estamos a assistir a um aumento dramático nestes tipos de ataques. O FBI reportou um aumento de 62% nas perdas entre Julho de 2019 e Dezembro de 2021; este montante foi roubado de cerca de um quarto de milhão de incidentes reportados. Em 2021, 40 milhões de dólares das perdas estavam relacionados com a moeda criptográfica; em 2020, esse número estava mais próximo dos 10 milhões de dólares.

Uma variação sobre este ataque aconteceu recentemente na Cisco, onde um hacker foi capaz de roubar a palavra-passe de um empregado, depois fingiu ser uma organização de confiança durante chamadas telefónicas e e-mails. Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família. A ideia é utilizar nomes e parceiros de confiança para conseguir que colaboradores de entreguem dinheiro ou credenciais. Sem utilizar malware, anexos ou ligações maliciosas, estes hacks representam o ápice da engenharia social.

Este tipo de ataque tem sido visto numa variedade de empresas, numa variedade de indústrias. Qualquer CFO ou executivo superior é um alvo potencial.

O melhor, portanto, é bloquear de forma proativa estes ataques, para que os utilizadores finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo.

Melhores Práticas: Orientações e Recomendações

Para se protegerem contra estes ataques, os profissionais de segurança podem fazer o seguinte:

•  Verificar sempre as moradas de reposição para ter a certeza de que correspondem
• Se alguma vez tiver dúvidas sobre um e-mail, pergunte ao remetente original
•  Encorajar os utilizadores a pedir financiamento antes de agir sobre as faturas
•  Leia todo o e-mail; procure quaisquer inconsistências, erros de ortografia ou discrepâncias
• Se utilizar banners, certifique-se de que não bombardeia os utilizadores finais com eles; utilize apenas em momentos críticos para que os utilizadores finais os levem a sério
•  Implantar autenticação multi-factor para todas as contas, mas especialmente e-mail
•  Configurar contas para o notificar de alterações
•  Utilize um gestor de senhas para criar e armazenar as suas senhas - nunca deve saber a sua própria senha
•  Recordar aos utilizadores que só devem partilhar informações pessoais em tempo real, pessoalmente ou por telefone. Incentivá-los a ser céticos em relação a todas as mensagens com ligações, e a verificar sempre com o remetente, em tempo real, quaisquer mensagens com ficheiros anexados