Ataques BEC: Um esquema de US$ 26 bilhões

Um novo estudo da Osterman Research revela porque ataques de comprometimento de e-mail corporativo (BEC) são mais devastadores financeiramente do que ransomware — e como eles podem ser impedidos.

Por que os cibercriminosos usariam ferramentas de ofuscação, lançariam ataques cibernéticos de várias fases, criptografariam endpoints e regateariam os valores de sequestros… quando podem simplesmente pedir o dinheiro? Esse é o conceito por trás dos ataques de comprometimento de e-mail corporativo (BEC) — um tipo de ataque cibernético que vem crescendo drasticamente nos últimos anos.

O centro de denúncias na internet, o Internet Complaint Center (IC3), do governo federal dos EUA que acompanha esses ataques desde 2013, batizou os ataques BEC de o esquema de US$ 26 bilhões — mas este apelido já está desatualizado devido ao aumento de volumes de ataques e do aumento da dependência de e-mails durante a pandemia.

Ainda que os ataques de ransomware de alto perfil continuem a dominar as notícias, perde-se muito mais dinheiro para ataques BEC. Por exemplo, em 2020 os ataques BEC representaram US$ 1,8 bilhão somente nos EUA e cerca de 40% das perdas com crimes cibernéticos no mundo.

A Anatomia de um Ataque BEC

Apesar de serem considerados como um tipo de ataque phishing, os ataques BEC não se baseiam em códigos ou links maliciosos. Ao invés disso, eles deixam a engenharia social fazer o serviço pesado. Esses ataques visam especificamente organizações que realizam solicitações legítimas de transferência de fundos e recorrem quase exclusivamente aos cargos superiores para garantir o cumprimento.

De acordo com o whitepaper da Osterman patrocinado pela SonicWall “Como lidar com o comprometimento de e-mail corporativo,” os atores de ameaças BEC criam endereços de e-mail que se assemelham aos usados por executivos seniores. Usam serviços gratuitos como Gmail para criar endereços de e-mail que parecem ser a conta pessoal de um executivo ou, não tão comum, têm acesso as contas reais de e-mail corporativo dos executivos, usando ataques de phishing ou outros meios.

Image describing phishing

Acima está um e-mail BEC que recebi. Note o apelo à autoridade — a mensagem parece vir do CEO da SonicWall, apesar de ter vindo de um endereço externo — bem como o caráter de urgência utilizado. Esse é um exemplo tosco, muitos desses e-mails são muito mais sofisticados, tanto na linguagem quanto na execução.

Uma vez que o invasor tenha uma conta de e-mail plausível para operar, ele usa as táticas da engenharia social para solicitar que a vítima desvie o pagamento de uma fatura válida para a conta bancária do criminoso; ou solicite o pagamento de uma fatura falsa, ou ainda desvie a folha de pagamento da empresa para uma conta bancária fraudulenta.

Como esses ataques recorrem à urgência e parecem vir de um CEO, CFO ou de outros cargos de liderança, muitas vítimas estão dispostas a cumprir com a solicitação o mais rápido possível. Uma vez feito o pagamento, a empresa perde uma grande soma de dinheiro, e os cibercriminosos comemoram mais um dia de pagamento.

Os Ataques BEC são Comuns?

Registraram-se ataques BEC em todos os estados dos EUA bem como em 177 países ao redor do mundo. Com base no último relatório do IC3, somente em 2020 foram relatados aproximadamente 20.000 desses ataques – provavelmente uma subnotificação, uma vez que a pesquisa da Osterman descobriu que quatro em cada cinco organizações sofreram pelo menos um ataque BEC em 2021. Em empresas de médio porte (aquelas com 500 a 2.500 usuários de e-mail) esse número subiu para nove em cada dez.

E ainda pior, quase 60% das organizações pesquisadas relataram ter sido vítimas de um ataque BEC que teve sucesso parcial ou completo. Para aqueles que foram vítimas, os custos foram significantes: uma combinação de custos diretos e indiretos causou um impacto financeiro total de US$ 114.762 nos casos de incidentes BEC bem-sucedidos. Infelizmente, os custos diretos, mesmo quando significativos para uma organização individual, geralmente são muito pequenos para acionar ajuda das autoridades policiais e companhias de seguro.

Ataques BEC Podem Ser Detidos (mas Provavelmente Não do Modo que Você Pensa)

Muitos outros ataques se baseiam em códigos e links maliciosos, que podem ser descobertos por soluções anti-malware e gateways de proteção de emails. Mas o tipo de táticas de engenharia social usada nos ataques BEC – principalmente aquelas vindas de endereços de e-mail legítimos — muitas vezes não são descobertas por essas soluções.

Mesmo assim, enquanto três quartos dos entrevistados disseram que se proteger contra esses ataques é importante para eles, muitos ainda dependem fundamentalmente de tecnologias que não foram criadas para deter ataques BEC.

Não há muito o que se possa fazer para se prevenir de estar entre os 80% (e aumentando) das empresas alvo por ataques BEC a cada ano. Mas há muitas outras coisas que você pode fazer para proteger as finanças de sua organização. Todas elas estão sob os três pilares fundamentais: pessoas, processos e tecnologia.

Tecnologia é sua primeira linha de defesa contra ataques BEC. Várias soluções reivindicam a habilidade de combater ataques BEC, mas a sua eficácia varia muito. Para uma melhor proteção, procure por uma solução que bloqueie os ataques BEC, e oriente os funcionários.

Viu no exemplo acima como há um alerta sobre o e-mail ter sido originado fora da organização? Mesmo que simples, esses tipos de alerta podem fazer a diferença entre a tentativa de BEC que será bem-sucedida e aquela que será descoberta e deletada logo após o recebimento.

Especialmente para as empresas que ainda contam com proteções tecnológicas tradicionais, o treinamento de funcionários é um fator indispensável. Os funcionários devem ser treinados para procurar endereços de e-mail falsos, gramática e sintaxe estranhas, e aspecto de urgência incomum.

Para casos de ataques especialmente sofisticados, em que uma tentativa BEC não é identificada como suspeita pelo destinatário, é essencial que os processos da empresa estejam bem definidos. Políticas como a revisão por várias pessoas de solicitações para alterar detalhes de contas bancárias, ou confirmações obrigatórias out-of-band geralmente são eficientes como última linha de defesa contra BEC.

Ransomware está em todos os lugares

De todos os produtos e serviços que usamos diariamente, quais deles foram afetados por ransomware? A SonicWall dá uma visão detalhada.

Sem dúvida, ransomware estão em alta. No Relatório de Ameaças Cibernéticas da SonicWall 2022, os pesquisadores de ameaças do SonicWall Capture Labs descobriram 623,3 milhões de ataques de ransomware globais, um aumento anual de 105%. A maioria dos setores teve picos três a quatro vezes maiores, como o governo (+1.885%), a saúde (+755%) e a educação (+152%).

No entanto, se sua empresa ainda não teve que lidar com ataques desse tipo, é fácil pensar que ransomware é um problema incomum e distante. Há 10 anos isso poderia ser verdade, mas hoje, ransomware está presente em todas as partes de nossa vida.

Para ilustrar a abrangência do ransomware e sua capacidade de prejudicar a vida de uma pessoa comum, criamos um dia rotineiro de um viajante de negócios:

Às 7 horas, o despertador do seu iPhone Apple lhe acorda para o início de um novo dia. Você se lava com um gel de banho da Avon, veste sua calça Guess e um blazer Boggi Milano, pega sua pasta Kenneth Cole antes de sair.

Assim que entra em seu Passport Honda, você sintoniza seu programa de esportes predileto, onde tem o reprise do jogo do San Francisco 49ers de ontem à noite. Fica tão entretido com o programa que quase esquece da parar para colocar combustível — compra uma coca cola no posto, somente para o caso de ter que esperar pelo seu voo.

Assim que chega ao aeroporto, você faz o check-in e procura por um lugar tranquilo para trabalhar um pouco. Felizmente, o saguão está vazio no momento. Você pega seus earbuds Bose e faz streaming do Radiohead em seu laptop ,enquanto aguarda o embarque.

O voo foi sem incidentes, e o aeroporto Hartsfield-Jackson International também tem pouco movimento como no Cleveland Hopkins International. Mas agora, você está morto de fome. Tem um McDonalds no saguão A e você pede um cheeseburger.

A noite é uma criança e você pensa em sair, mas foi um dia longo. No seu caminho para se hospedar no Ritz Carlton, você resolve dar uma parada na livraria Barnes and Noble. Pega uma graphic novel e se presenteia com uma caixa de SweeTarts para se deliciar durante a noite tranquila.

Segundo a programação da televisão, tem um jogo da NBA na TV, que só começa às 9 da noite — isso lhe dá alguns minutos para fazer o login no Kronos e começar a fazer o relatório de despesas. Como vai ter um dia repleto de reuniões amanhã, você aproveita para tomar um banho quente, coloca o pijama, veste as pantufas e vai para a cama.