Business Email Compromise (BEC): o que é e como proteger a sua empresa
Como funcionam os golpes BEC
Em ataques BEC, normalmente os criminosos se apropriam da identidade de alguém ligado à corporação, como um fornecedor ou um cliente. Com isso, persuadem funcionários a enviar informações de grande valor ou a realizar transferências financeiras para o criminoso.
As técnicas por trás dos golpes de Business Email Compromise
Entenda as técnicas mais comuns utilizadas pelos perpetradores do BEC — esse conhecimento é essencial para reconhecer e se defender dos golpes.
Sites e e-mails falsos (spoofing): criminosos criam endereços de e-mail ou sites que são extremamente parecidos aos endereços reais para induzir a vítima a pensar que está respondendo uma pessoa conhecida ou acessando um site de confiança.
Spear phishing: um tipo hiperdirecionado de phishing, que utiliza o senso de urgência para enganar uma vítima específica.
Malware: criminosos contaminam computadores corporativos com malwares que dão acesso a dados e sistemas internos. É justamente por meio de spoofing ou spear phishing que, na maior parte dos casos, os computadores acabam contaminados.
Os tipos de abordagem utilizadas nos golpes BEC
Todas as técnicas listadas acima podem ser aplicadas pelos criminosos em diferentes abordagens. Essas abordagens nada mais são que histórias criadas para persuadir as vítimas. As mais comuns são as listadas abaixo:
Esquema de fatura falsa: vítimas recebem cobranças falsas de criminosos se passando por fornecedores conhecidos. Esse golpe é mais comum em empresas que possuem fornecedores internacionais.
Fraude do CEO: criminosos se passam pelo CEO ou por empresários do alto escalão de uma empresa, entram em contato com a equipe financeira e solicitam transferências para uma conta que controlam.
Conta comprometida: o e-mail de um executivo ou funcionário de uma empresa é sequestrado e utilizado para entrar em contato com fornecedores solicitando pagamentos.
Interpretação de advogado: um criminoso se passa pelo advogado ou alguém da área jurídica (por e-mail ou telefone) para descobrir informações importantes.
Como se defender de ataques BEC
Para se defender dos ataques do tipo Business Email Compromise (BEC), é preciso investir em duas frentes: tecnologias preventivas e também cultura de cibersegurança.
Tecnologias para se proteger de ataques
Sistema de regras de detecção de intrusão: esse tipo de tecnologia assinala e-mails que tenham extensões muito parecidas com a do e-mail oficial da companhia, para indicar possível tentativa de golpe.
Regras de e-mail: é possível ativar uma regra em muitos sistemas de e-mail que indicam quando, em uma conversa, o endereço que enviou a resposta é diferente daquele para quem você enviou o e-mail inicialmente.
Autenticação de dois fatores em processos de pagamento: ative essa opção em todos os apps e sistemas de pagamento que puder.
Cultura de cibersegurança
No dia a dia de trabalho, independentemente de qual cargo você exerça, a principal forma de se defender é conhecer como os criminosos agem e se atentar para todas as características que foram listadas neste artigo.
E, se você é executivo ou sócio em uma empresa, sempre balanceie seus investimentos entre ferramentas de tecnologia e a educação de sua equipe: afinal, são eles que operam o dia a dia dos negócios.
Produção: Equipe de Conteúdo da Perallis Security