Perigo no topo: as ameaças cibernéticas que visam os C-levels
Quando falamos sobre fraudes e golpes de engenharia social aplicadas contra uma empresa em específico, é normal que a maioria das pessoas imagine, de imediato, que o maior perigo reside sempre nos colaboradores de menor nível hierárquico. Porém, o que poucos percebem é que a alta diretoria de uma empresa também sofre riscos.
Existem diversos tipos de ameaças direcionadas especificamente aos C-levels, ou seja, os executivos de alto escalão, que ocupam posições de diretoria em uma companhia. Eles são um alvo bastante atraente para cibercriminosos devido ao fato de serem as pessoas com maior quantidade de acessos e privilégios dentro da empresa. Portanto, acredite ou não, os C-levels podem estar tão desprotegidos quanto os outros colaboradores!
No geral, por já terem que lidar com uma rotina bastante agitada e estressante, eles podem acabar deixando a adoção das políticas de segurança cibernética da empresa de lado. Um estudo recente da companhia MobileIron entrevistou diversos executivos desse nível hierárquico e constatou que 58% deles se sentiam “intimidados” com a complexidade das demandas de cibersegurança e 62% declararam que seus dispositivos se tornaram “menos úteis” com tais normas. Dessa forma, no fim do dia, é possível que os C-levels estejam ainda mais vulneráveis a ameaças cibernéticas do que os colaboradores operacionais.
Pescando peixes grandes
Uma categoria de ataque que costuma mirar especificamente na alta direção de uma empresa é o whaling. Esse golpe é assim chamado em referência à caça de baleias e cachalotes e pode ser encarado como a versão mais sofisticada e complexa do phishing.
O primeiro passo para um whaling bem-sucedido é a etapa de reconhecimento. O cibercriminoso estuda seus alvos, entendendo quem é quem dentro da empresa, aprendendo suas relações (através de fotos e outros detalhes pessoais publicados em redes sociais) e estabelecendo uma forma fiel de se comunicar com eles.
Feita a análise, o criminoso pode tanto invadir como falsificar uma conta legítima de um e-mail ou aplicativo de mensagem. Em seguida, o ataque é executado. Personificando o CEO da empresa, um fornecedor, um advogado ou até mesmo um cliente, o golpista aborda a vítima, geralmente um C-level, e pede que ela faça uma transferência de milhares de reais ou envie uma planilha com dados sensíveis, sempre em caráter de urgência. A vítima, convencida pelo tom de emergência e de autoridade que cerceiam o e-mail recebido, não possui outra reação além de cumprir o que lhe foi solicitado.
Criminoso de terno e gravata
Se whaling é o nome dado ao tipo de fraude que tem o objetivo de atingir os colaboradores no nível da alta diretoria, o golpe conhecido como BEC, Business Email Compromise, possui um objetivo um pouquinho diferente.
No BEC, o fraudador personifica um C-level para enganar os colaboradores de qualquer nível hierárquico da empresa. No entanto, os funcionários operacionais, que têm uma tendência a confiar nos executivos, costumam ser as principais vítimas.
Em geral, o golpista solicita uma transferência monetária ou o envio de arquivos sensíveis para futuras tentativas de fraude. Mas, claro, há inúmeras formas pelas quais os cibercriminosos podem te enganar.
Proteção de alto nível
Esses e outros golpes envolvem os C-levels podem ser mitigados com um programa eficiente de conscientização em segurança da informação — e, é claro, este não deve se limitar aos colaboradores de nível pleno e júnior, mas também ser direcionado aos funcionários sênior e à própria alta diretoria. Toda a empresa deve estar ciente desses riscos e das melhores formas de identificá-los, o que inclui prestar atenção ao endereço de e-mail do remetente e fazer checagens via outros métodos (um telefonema, por exemplo) antes de efetuar transações de alto risco.
Produção: Equipe de Conteúdo da Perallis Security