O Business Email Compromise (BEC) é uma evolução avançada do phishing tradicional por correio eletrónico. Em vez de envios genéricos em massa, esta fraude caracteriza-se por ser mais específica e direcionada. Os atacantes utilizam contas empresariais falsificadas ou comprometidas para enviar mensagens de correio eletrónico que parecem legítimas para enganar os empregados, normalmente para obterem ganhos financeiros.
Os atacantes apresentam-se frequentemente como um superior hierárquico que solicita uma ação urgente. O pedido é geralmente confidencial, com instruções para não partilhar a informação com outras pessoas da organização e para justificar a urgência, a fim de evitar os procedimentos de controlo habituais.
Como é efetuado um ataque BEC?
Compromisso da conta de correio eletrónico: Isto pode ser conseguido obtendo as credenciais de uma conta real ou modificando o domínio de uma conta legítima de modo a que as diferenças sejam impercetíveis a olho nu.
Por exemplo:
utilizador@domínio.com
utilizador@dornínio.com
O “m” em “domínio” é alterado para as letras “rn”, que podem passar despercebidas a olho nu.
Contacto através da conta falsificada: Os cibercriminosos enviam e-mails fingindo ser uma figura de autoridade dentro da empresa, solicitando informações confidenciais ou alterações a dados sensíveis, como contas bancárias. Para tornar o pedido mais credível, os atacantes fazem por vezes pedidos prévios (como pedir documentação) antes de solicitar ações mais comprometedoras, como transferências de fundos. É importante notar que esta informação inicial pode ser utilizada mais tarde para outras fraudes.
Possível utilização de malware: Embora os ataques de BEC não exijam normalmente software malicioso, em alguns casos podem incluir ligações ou ficheiros que contêm malware que lhes permite aceder a sistemas empresariais sem serem detetados.
Tipos mais comuns de ataques BEC
Fraude de CEO: O atacante faz-se passar por um executivo sénior (CEO, CFO, etc.) e solicita uma transferência urgente para uma conta controlada pelos cibercriminosos ou solicita informações sensíveis.
Fraude de fornecedores: o atacante faz-se passar por um fornecedor de confiança e pede para alterar os dados bancários onde os pagamentos devem ser efectuados, desviando assim os fundos para contas fraudulentas.
Fraude de RH: Os atacantes fazem-se passar por um empregado e pedem aos RH que alterem o número da conta onde os salários são depositados, redirecionando o salário para uma conta controlada pelos criminosos.
Como se proteger?
O BEC não ataca diretamente os sistemas tecnológicos, mas utiliza técnicas de manipulação psicológica para fazer com que as pessoas envolvidas ajam de forma precipitada. Por este motivo, é aconselhável, no caso de um pedido invulgar ou urgente, que
Verificar a autenticidade do remetente através de um canal alternativo, como uma chamada telefónica direta.
Verificar cuidadosamente o endereço de correio eletrónico, procurando pequenas alterações no domínio.
Implementar políticas claras para lidar com transferências e alterações de dados confidenciais, incluindo uma segunda verificação por outro membro da equipa.
Sensibilizar os funcionários através de formação regular sobre como identificar este tipo de fraude.
A manutenção de uma atitude preventiva e de uma comunicação interna clara é fundamental para minimizar os riscos.
Fontes:
Configuração de cookies
