O e-mail é uma ferramenta essencial no processo de comunicação organizacional, seja para a comunicação interna ou externa, com fornecedores, clientes e parceiros.
Diante da sua relevância e da grande demanda de uso, é claro que os cibercriminosos não deixariam de explorar essa importante ferramenta para atacar e lucrar.
É o que mostrou uma pesquisa realizada por uma organização líder mundial em seguros, a AIG – American International Group, Inc.
Segundo o relatório da companhia, que analisou todos os pedidos de seguro cibernético recebidos pela instituição em 2018, 23% estavam relacionados com os ataques de comprometimento à e-mails comerciais.
Já o Ransomware, apesar do seu protagonismo em 2017, foi responsável por apenas 18% das reivindicações feitas à AIG no ano da pesquisa.
Exemplo de ataques a e-mails corporativos
Ainda no relatório da AIG, é possível conferir o relato do ataque sofrido por uma segurada prestadora de serviços para PMEs (Pequenas e Médias Empresas).
Um funcionário da organização teve sua conta de e-mail comprometida, com isso, os criminosos conseguiram enviar mais de 5 mil e-mails contendo faturas para os clientes da organização.
Neste caso, a empresa vítima conseguiu agir de forma hábil alertando os clientes da fraude e corrigindo a falha, porém, em muitos casos os ataques são bem-sucedidos graças à falta de maturidade das organizações (e de seus funcionários) e da falta de agilidade em detectar e resolver o problema.
Como funcionam os ataques a e-mails corporativos
Os ataque a e-mails corporativos, mais tecnicamente conhecidos como BEC (Business E-mail Compromise, ou Comprometimento de E-mails Corporativos) possui diversos modus operandi, mas o que há de comum em todas as técnicas empregadas é o uso da engenharia social.
Engenharia Social
Engenharia social é o ato de explorar as fraquezas humanas para obter informações confidenciais, por exemplo, senhas e dados bancários ou fazer com que os indivíduos realizem determinadas atividades, como acessar um página maliciosa clicando em determinado link.
Nessa técnica, os criminosos exploram características da natureza humana, como a curiosidade, o medo, a ganância, ou a boa vontade de ajudar o próximo. Neste contexto, entra em cena o chamado phishing.
Phishing
O termo phishing faz referência ao ato no qual invasores enviam e-mails fraudulentos para enganar pessoas. O objetivo é fazer com que os usuários revelem credenciais de acesso (senhas e logins), dados financeiros, ou outras informações confidenciais.
Há também os e-mail de phishing que motivam o usuário a acessar páginas maliciosas, realizar transferências ou pagamentos de boletos falsos.
Por que os ataques de phishing são tão bem-sucedidos?
Esse tipo de ataque costuma ser bem-sucedido porque ataca o elemento mais frágil dentro de um sistema de segurança da informação, que são os seres humanos.
Para alcançar seus objetivos, os e-mails de phishing usam a engenharia social para incentivar os usuários a agir sem pensar muito no que estão fazendo.
Os ataques a e-mails corporativos na prática
O modus operandi dos ataques varia bastante, mas sempre utilizam um e-mail comercial, o phishing e a engenharia social para convencer as vítimas.
Confira agora algumas técnicas comumente utilizadas:
E-mail do CEO
Neste modelo, os criminosos usam a conta de e-mail (ou uma semelhante) do CEO, diretor ou gerente de operações da empresa e envia solicitações de pagamento aos funcionários do setor financeiro.
Frequentemente, costumam exigir agilidade neste processo, informando que o pagamento precisa ser realizado urgentemente. Está técnica também pode ser utilizada para a obtenção de informações sigilosas.
E-mail de fornecedores
Neste modelo, os criminosos se passam por fornecedores e enviam e-mails aos funcionários da organização vítima cobrando o pagamento de supostos serviços realizados ou produtos entregues.
Para promover um golpe eficiente, os criminosos buscam coletar o máximo de informações possíveis, inclusive, dados dos fornecedores reais daquela instituição, deixando o ataque o mais convincente possível.
E-mail em nome da empresa
Esse é um modelo muito popular de ataque, na qual as vítimas são, principalmente, os clientes da empresa. Vamos utilizar uma companhia telefônica como exemplo.
O cibercriminoso cria um e-mail com um domínio semelhante ao da empresa e envia e-mails contendo faturas da suposta conta telefônica para milhares de pessoas. Aqui, eles costumam dizer que a conta já está vencida ou com vencimento próximo, ameaçando interromper o serviço ou protestar a dívida.
Esses são apenas três exemplos de como os cibercriminosos podem e costumam agir, mas, a criatividade deles chega a ser inacreditável, então, fiquem sempre em alerta.
Como se proteger de ataques a e-mails corporativos
Existem várias maneiras de se proteger dos ataques BEC, confira as principais:
Dê atenção ao fator humano
Não vai adiantar nada contar com os melhores sistemas de segurança se os funcionários não estiverem atentos. Portanto, em primeiro lugar, eduque os colaboradores sobre os cuidados necessários com técnicas de engenharia social e do phishing.
Alerte os funcionários a:
- Nunca realizar transferências sem uma consulta interna de modo a obter a confirmação de tal procedimento.
- Ao receber e-mails com solicitações do CEO, diretores, gerentes ou fornecedores, os usuários devem ter o cuidado redobrado e verificar sua legitimidade antes de realizar qualquer operação.
Evite o uso de contas de e-mail gratuitas
Por utilizar políticas de segurança mais baixas e facilidade se criar um e-mail, contas de plataformas gratuitas, como o Gmail, Yahoo, Hotmail e etc., são mais suscetíveis a ataques BEC.
Por isso, priorize o utilização de um domínio próprio para a criação dos e-mails da corporação. Esta medida não é suficiente para evitar os ataques, mas ajuda a dificultar a ação dos bandidos.
Autenticação de múltiplos fatores
A implementação da autenticação de múltiplos fatores é outra maneira bacana para aumentar a segurança e evitar golpes, como a invasão ou clonagem das contas.
A proteção por senha e um PIN alternativo, que pode ser um código ou uma pergunta secreta, aumentam a dificuldade de se acessar tais e-mails sem prévia autorização.
Exclua e-mails de fontes duvidosas
Ao receber e-mails de fontes desconhecidas exclua, e, em hipótese alguma, clique em links duvidosos, principalmente aqueles que despertam a curiosidade.
E muita atenção com termos como “imediato”, “pagamento”, “urgente”, ou “secreto”, pois trata-se de palavras-chave comumente utilizadas por fraudadores em suas técnicas de engenharia social.
Use um software de segurança para e-mails
Obtenha ferramentas capazes de configurar, identificar e autorizar todo o tráfego de email da corporação, filtrando ao máximo o recebimento de e-mails fraudulentos.
A Suporte 24×7 trabalha com soluções focadas em impedir os ataques BEC e outros incidentes de segurança. Então, se você estiver interessado em aumentar a segurança do ambiente de tecnologia da sua organização, entre em contato conosco e descubra como podemos te ajudar.