Por que os cibercriminosos usariam ferramentas de ofuscação, lançariam ataques cibernéticos de várias fases, criptografariam endpoints e regateariam os valores de sequestros… quando podem simplesmente pedir o dinheiro? Esse é o conceito por trás dos ataques de comprometimento de e-mail corporativo (BEC) — um tipo de ataque cibernético que vem crescendo drasticamente nos últimos anos.

O centro de denúncias na internet, o Internet Complaint Center (IC3), do governo federal dos EUA que acompanha esses ataques desde 2013, batizou os ataques BEC de o esquema de US$ 26 bilhões — mas este apelido já está desatualizado devido ao aumento de volumes de ataques e do aumento da dependência de e-mails durante a pandemia.

Ainda que os ataques de ransomware de alto perfil continuem a dominar as notícias, perde-se muito mais dinheiro para ataques BEC. Por exemplo, em 2020 os ataques BEC representaram US$ 1,8 bilhão somente nos EUA e cerca de 40% das perdas com crimes cibernéticos no mundo.

A Anatomia de um Ataque BEC

Apesar de serem considerados como um tipo de ataque phishing, os ataques BEC não se baseiam em códigos ou links maliciosos. Ao invés disso, eles deixam a engenharia social fazer o serviço pesado. Esses ataques visam especificamente organizações que realizam solicitações legítimas de transferência de fundos e recorrem quase exclusivamente aos cargos superiores para garantir o cumprimento.

De acordo com o whitepaper da Osterman patrocinado pela SonicWall “Como lidar com o comprometimento de e-mail corporativo,” os atores de ameaças BEC criam endereços de e-mail que se assemelham aos usados por executivos seniores. Usam serviços gratuitos como Gmail para criar endereços de e-mail que parecem ser a conta pessoal de um executivo ou, não tão comum, têm acesso as contas reais de e-mail corporativo dos executivos, usando ataques de phishing ou outros meios.

Acima está um e-mail BEC que recebi. Note o apelo à autoridade — a mensagem parece vir do CEO da SonicWall, apesar de ter vindo de um endereço externo — bem como o caráter de urgência utilizado. Esse é um exemplo tosco, muitos desses e-mails são muito mais sofisticados, tanto na linguagem quanto na execução.

Uma vez que o invasor tenha uma conta de e-mail plausível para operar, ele usa as táticas da engenharia social para solicitar que a vítima desvie o pagamento de uma fatura válida para a conta bancária do criminoso; ou solicite o pagamento de uma fatura falsa, ou ainda desvie a folha de pagamento da empresa para uma conta bancária fraudulenta.

Como esses ataques recorrem à urgência e parecem vir de um CEO, CFO ou de outros cargos de liderança, muitas vítimas estão dispostas a cumprir com a solicitação o mais rápido possível. Uma vez feito o pagamento, a empresa perde uma grande soma de dinheiro, e os cibercriminosos comemoram mais um dia de pagamento.

Os Ataques BEC são Comuns?

Registraram-se ataques BEC em todos os estados dos EUA bem como em 177 países ao redor do mundo. Com base no último relatório do IC3, somente em 2020 foram relatados aproximadamente 20.000 desses ataques – provavelmente uma subnotificação, uma vez que a pesquisa da Osterman descobriu que quatro em cada cinco organizações sofreram pelo menos um ataque BEC em 2021. Em empresas de médio porte (aquelas com 500 a 2.500 usuários de e-mail) esse número subiu para nove em cada dez.

E ainda pior, quase 60% das organizações pesquisadas relataram ter sido vítimas de um ataque BEC que teve sucesso parcial ou completo. Para aqueles que foram vítimas, os custos foram significantes: uma combinação de custos diretos e indiretos causou um impacto financeiro total de US$ 114.762 nos casos de incidentes BEC bem-sucedidos. Infelizmente, os custos diretos, mesmo quando significativos para uma organização individual, geralmente são muito pequenos para acionar ajuda das autoridades policiais e companhias de seguro.

Ataques BEC Podem Ser Detidos (mas Provavelmente Não do Modo que Você Pensa)

Muitos outros ataques se baseiam em códigos e links maliciosos, que podem ser descobertos por soluções anti-malware e gateways de proteção de emails. Mas o tipo de táticas de engenharia social usada nos ataques BEC – principalmente aquelas vindas de endereços de e-mail legítimos — muitas vezes não são descobertas por essas soluções.

Mesmo assim, enquanto três quartos dos entrevistados disseram que se proteger contra esses ataques é importante para eles, muitos ainda dependem fundamentalmente de tecnologias que não foram criadas para deter ataques BEC.

Não há muito o que se possa fazer para se prevenir de estar entre os 80% (e aumentando) das empresas alvo por ataques BEC a cada ano. Mas há muitas outras coisas que você pode fazer para proteger as finanças de sua organização. Todas elas estão sob os três pilares fundamentais: pessoas, processos e tecnologia.

Tecnologia é sua primeira linha de defesa contra ataques BEC. Várias soluções reivindicam a habilidade de combater ataques BEC, mas a sua eficácia varia muito. Para uma melhor proteção, procure por uma solução que bloqueie os ataques BEC, e oriente os funcionários.

Viu no exemplo acima como há um alerta sobre o e-mail ter sido originado fora da organização? Mesmo que simples, esses tipos de alerta podem fazer a diferença entre a tentativa de BEC que será bem-sucedida e aquela que será descoberta e deletada logo após o recebimento.

Especialmente para as empresas que ainda contam com proteções tecnológicas tradicionais, o treinamento de funcionários é um fator indispensável. Os funcionários devem ser treinados para procurar endereços de e-mail falsos, gramática e sintaxe estranhas, e aspecto de urgência incomum.

Para casos de ataques especialmente sofisticados, em que uma tentativa BEC não é identificada como suspeita pelo destinatário, é essencial que os processos da empresa estejam bem definidos. Políticas como a revisão por várias pessoas de solicitações para alterar detalhes de contas bancárias, ou confirmações obrigatórias out-of-band geralmente são eficientes como última linha de defesa contra BEC.