O FBI alerta que US$ 43 bilhões foram perdidos apenas com esses ataques, então por que essa ameaça é esquecida com tanta frequência?

 

A forma mais lucrativa de crime cibernético pode não ser a que você espera inicialmente.  

Enquanto o ransomware recebe atenção global quando derruba serviços vitais e os criminosos cibernéticos escapam com pagamentos de resgate de vários milhões de dólares , há outro grande problema de segurança cibernética que está custando mais dinheiro ao mundo, mas continua sendo um segredo embaraçoso para muitos. FBI, custou às vítimas mais de US$ 43 bilhões até o momento . 

Os golpes de comprometimento de e-mail comercial (BEC) podem não ter o drama dos ataques de hackers, mas é possível argumentar que eles se tornaram o maior problema de segurança cibernética que o mundo enfrenta hoje.

"O comprometimento de e-mail comercial é o crime cibernético número um, ponto final - não há como disfarçar. É um problema internacional e global com vítimas em mais de 90% dos países do mundo - essa é a escala em que estamos operando", diz Ronnie Tokazowski, principal consultor de ameaças da empresa de segurança cibernética Cofense. 

Os ataques BEC baseiam-se no uso de engenharia social para induzir as vítimas a transferir um pagamento para criminosos cibernéticos. Muitas vezes, os golpistas se passam por colegas, clientes, chefes ou parceiros de negócios para fazer com que seus pedidos pareçam legítimos. 

Existem duas maneiras principais pelas quais os golpistas tentam fraudes financeiras de BEC. A primeira é enviar e-mails de uma conta falsificada fingindo ser alguém que você conhece, com um pedido para fazer uma transferência.  

O outro é mais sofisticado, com invasores roubando nomes de usuário e senhas para invadir contas de e-mail legítimas e usar essas contas para fazer solicitações de fundos. Às vezes, isso acontece no meio de uma conversa real, o que faz com que pareça ainda mais plausível no que é chamado de ataque de seqüestro de conversa.

Em cada caso, o golpista pede que um pagamento seja feito com urgência. Muitas vezes, para apressar as coisas, eles alegam que o pagamento deve ser feito rapidamente e que também deve ser mantido em segredo, dizendo à potencial vítima que a divulgação da transação pode colocar um negócio em risco.  

O pagamento, é claro, é na realidade enviado para uma conta de propriedade ou controlada pelos criminosos cibernéticos. No momento em que alguém percebe que algo está errado, é provável que os golpistas tenham sacado e fugido com o dinheiro, gastando-o ou lavando-o em outro lugar. 

As quantias transferidas como parte dos ataques BEC podem chegar a centenas de milhares de dólares. Mas muitas vezes eles não são relatados, porque muitas empresas que são vítimas não o classificam como um problema de segurança cibernética – e quando é relatado, porque o dinheiro está envolvido, é relatado às finanças.  

“O comprometimento de e-mail comercial não recebeu a atenção que merece como um ataque potencial porque, há muito tempo, não é um problema de segurança”, diz Adenike Cosgrove, estrategista de segurança cibernética da Proofpoint.

"Eles não vão para a equipe de segurança, eles vão para a equipe de finanças - e isso é escalado para o CEO ou CFO e então se torna uma questão legal e financeira, não uma questão de segurança", acrescenta ela. 

Assim, ao contrário do ransomware –  que geralmente é visível para todos sempre que há um ataque , devido à interrupção significativa e muitas vezes duradoura dos serviços causada – os ataques BEC não recebem muita atenção.  

Mesmo as campanhas BEC mais básicas podem arrecadar milhares de dólares. E tudo o que um golpista precisa para iniciar campanhas BEC é uma conta de e-mail e alguns alvos para perseguir – e se você vai se passar por CEO de uma determinada empresa, essa informação é extremamente fácil de encontrar usando apenas um mecanismo de pesquisa. 

“Em muitos casos com ataques BEC, um dos maiores benefícios de fazer esses ataques é que há muito menos sobrecarga do ponto de vista comercial do que outros tipos de ataques cibernéticos”, diz Crane Hassold, diretor de inteligência de ameaças da Abnormal Security. 

“Em muitos casos, é uma pesquisa básica e, em seguida, simplesmente enviar e-mails se passando por pessoas, então o retorno do investimento para ataques BEC é significativamente maior do que outros tipos de ataques cibernéticos”, acrescenta. 

Em alguns casos, malware ou phishing podem ser usados ​​para roubar credenciais de login para assumir o controle de uma conta legítima a ser explorada, mas na maioria das vezes, basta falsificar o e-mail do chefe ou CEO que o golpista está fingindo ser .  

"Está realmente aproveitando um elemento humano, pessoas de engenharia social, e acho que novamente esquecemos na segurança cibernética que realmente é um problema humano - é um problema de pessoas", diz Cosgrove. 

Essa é uma das coisas que torna os ataques BEC tão desafiadores – quando a transação está sendo feita, ela não está sendo feita por um criminoso cibernético. O pagamento está sendo feito por alguém que acha que está fazendo a coisa certa com as informações que estão sendo fornecidas.

Como resultado, as vítimas geralmente sentem vergonha e constrangimento por terem sido enganadas – e isso as torna menos dispostas a falar sobre a experiência, mesmo que isso possa ajudar a impedir que outras pessoas cometam o mesmo erro caro.

"Para resolver isso, temos que dar um passo atrás e reconhecer que há muita vergonha nisso", diz Tokazowski. "Por causa da vergonha, muitos deles não querem se apresentar."

Outro elemento complicado em torno dos ataques BEC é que, em alguns casos, a empresa que é enganada para transferir um pagamento nunca foi violada por criminosos cibernéticos - em vez disso, é um de seus clientes, clientes ou parceiros de negócios que foram personificados ou tiveram seu sistema violado.

"No final das contas, a empresa que está enviando dinheiro, que está perdendo dinheiro, na verdade não tem nenhum controle sobre esse compromisso inicial que é, eu acho, um dos aspectos mais preocupantes de toda essa tendência", diz Vendeu. 

Os ataques BEC são fáceis de realizar, mas difíceis de detectar e interromper – é por isso que eles são tão bem-sucedidos e os golpistas estão ganhando tanto dinheiro com os ataques.  

E embora seja uma forma importante de crime cibernético, não é realmente um problema técnico, é um problema de pessoas – pessoas com boas intenções são induzidas a transferir fundos que eles acham que estão sendo solicitados por motivos legítimos. 

No entanto, não é uma luta completamente sem esperança, porque a cooperação internacional resultou em milhares de prisões de suspeitos de membros de gangues BEC , mas devido à facilidade de execução dos ataques, o problema não vai desaparecer. Se alguma coisa, com o surgimento de deepfakes, pode estar prestes a ficar muito pior .

Embora existam medidas que podem ser tomadas para ajudar a evitar que contas sejam comprometidas para realizar ataques – como o uso de autenticação multifator  – e políticas que podem ser implementadas para garantir que várias pessoas participem do processo de autorização de pagamentos, uma Uma das melhores coisas que podem ser feitas para ajudar a detectar ataques BEC é aumentar a conscientização sobre o problema. 

E é vital que as empresas forneçam uma estrutura para que os funcionários – que se preocupam com a possibilidade de terem sido enganados por um ataque BEC – se apresentem sem repercussões, para que os incidentes possam ser relatados e atendidos para ajudar as pessoas a entender o que precisam observar por. 

"Precisamos deixar de culpar as vítimas", diz Cosgrove. "Queremos que eles nos digam muito rapidamente se virem algo que acham suspeito, ou se clicaram nesse link ou enviaram os dados ou transferiram o dinheiro. 

"Queremos que eles nos digam muito rapidamente para que possamos responder muito mais rapidamente - não se trata de culpar a vítima. Trata-se de ter essa fonte adicional de inteligência", disse ela.

 

 

 

 

 

 

 

 

 

 

 

Fonte:ZDnet