Últimas notícias

Fique informado

Criminosos usam ataques BEC – Business Email Compromise para obter acesso a uma conta de e-mail comercial

5 de setembro de 2018

Estudo de Barracuda sobre 3.000 ataques revela detalhes sobre BEC – Business Email Compromise

Barracuda Security Insight é uma plataforma de consultoria gratuita que fornece informações sobre ameaças em tempo real e informações sobre riscos de segurança. Para obter as últimas novidades em alertas críticos e recomendações de segurança.

Segundo publicado no blog da Barracuda, os tipos mais comuns de cyberfraud atualmente é o Business Email Compromise, ou BEC scam. Esses ataques são responsáveis ​​por bilhões de dólares em perdas por fraude nos últimos anos, e os criminosos continuam melhorando sua estratégia de como enganar suas vítimas.

No estudo intitulado Barracuda Threat Spotlight, foram abordados diferentes tipos de ataques BEC que foram analisados ​​pela Barracuda Sentinel Team .

 Ameaças em destaques

Criminosos usam ataques Business Email Compromise (BEC) para obter acesso a uma conta de e-mail comercial e imitar a identidade do proprietário, a fim de fraudar a empresa e seus funcionários, clientes ou parceiros.

Na maioria dos casos, os scammers concentram esforços nos funcionários com acesso às finanças da empresa ou dados de folha de pagamento e outras informações pessoalmente identificáveis.

Os detalhes

Para entender melhor as metas e a metodologia dos ataques BEC, as estatísticas de 3.000 ataques de BEC selecionados aleatoriamente pelo sistema Barracuda Sentinel.

Objetivos dos ataques

TABELA I: O objetivo dos ataques BEC como porcentagem de 3.000 ataques escolhidos aleatoriamente. 59,9% dos ataques não envolvem um link de phishing.

A tabela acima resume os objetivos dos ataques. Os resultados mostram que o BEC mais comum nos ataques da amostra é tentar enganar o destinatário para fazer uma transferência bancária para uma conta bancária de propriedade do atacante, enquanto que cerca de 0,8% dos ataques pedem ao destinatário para enviar informações pessoais identificáveis ​​ao invasor (PII), normalmente na forma de formulários W2 que contêm números de previdência social. Aqui está um exemplo recente de uma transferência bancária BEC com os nomes e endereços redigidos:

Cerca de 40% dos ataques pedem ao destinatário para clicar em um link, conforme o exemplo a seguir:

12% dos ataques tentam estabelecer rapport com o alvo iniciando uma conversa com o destinatário (por exemplo, o atacante perguntará ao destinatário se eles estão disponíveis para uma tarefa urgente). Para os e-mails de “rapport”, na grande maioria dos casos, depois que o email inicial for respondido, o invasor solicitará uma transferência eletrônica.

Uma observação importante é que cerca de 60% dos ataques de BEC não envolvem um link: o ataque é simplesmente um e-mail de texto simples destinado a enganar o destinatário para enviar uma transferência eletrônica ou enviar informações confidenciais. Esses e-mails de texto simples são especialmente difíceis para os sistemas de segurança de e-mail existentes, porque geralmente são enviados de contas de e-mail legítimas, adaptados a cada destinatário e não contêm links suspeitos.

Também testamos ataques de 50 empresas aleatórias e classificamos os papéis do destinatário do ataque, bem como o remetente representado. Os resultados são apresentados aqui na Tabela II:

TABELA II: Os papéis dos destinatários e funcionários representados de uma amostra de ataques BEC escolhidos entre 50 empresas aleatórias. 

Com base nos resultados da Tabela II, o termo “fraude de CEO” usado para descrever a BEC é justificado: cerca de 43% dos remetentes personificados eram o CEO ou fundador.

Os alvos dos ataques são distribuídos de forma muito mais uniforme em diferentes funções. No entanto, mesmo para remetentes personificados, a maioria (cerca de 57%) não é o CEO.

Quase a metade dos papéis representados e mais da metade dos alvos não são de posições “sensíveis”, como executivos, finanças ou RH. Portanto, simplesmente proteger os funcionários em departamentos confidenciais não é suficiente para proteger contra a BEC.

Qual ação tomar?

As transferências eletrônicas nunca devem sair sem uma conversa em pessoa ou telefonema. Mas é preciso ter cuidado com chamadas telefônicas se as informações de contato estiverem incluídas no e-mail potencialmente fraudulento.

Como o CEO é a função mais representada, os usuários devem ter um cuidado extra com os e-mails dessa conta. Se o CEO estiver fazendo uma solicitação ou se for incomum receber e-mails do CEO, o usuário deve confirmar a legitimidade antes de agir.

Implemente um programa de treinamento que ensine os usuários a detectar um ataque BEC e use esse programa para treiná-los e testá-los continuamente em técnicas atualizadas.

Implante um sistema de proteção de e-mail como assinatura digital e criptografia.

Veja outras sugestões no site da Barracuda.

Fonte: Barracuda Security Insight

 

Precisamos de menos compliance e mais segurança”, defendeu John Walker durante Cyber Security Summit Brasil