Golpes de engenharia social, onde cibercriminosos se passam por executivos do alto escalão, têm se tornado cada vez mais comuns. Por serem tão convincentes, o FBI registrou US$ 43 bilhões em perdas com estes golpes entre 2016 a 2021, representando mais de 240 mil incidentes.
Pesquisadores da Avanan, empresa de segurança de colaboração e e-mail, capturaram e bloquearam um ataque cibernético que falsificou uma mensagem onde o atacante se passava por um CFO de uma grande organização esportiva. O golpe solicitava envio de dinheiro.
Segundo a Avanan, os atacantes tentaram enganar um funcionário da área financeira de nível hierárquico inferior para enviar fundos para uma suposta companhia de seguros. A técnica de ciberataque usada é conhecida como ataque Business E-mail Compromise (BEC), por meio da qual os cibercriminosos se passam por executivos de nível C para obter ganhos financeiros.
“Descobrimos esse ataque que falsificava o e-mail do CFO de uma grande organização esportiva. O falso CFO pede a um funcionário da área financeira para enviar uma transferência eletrônica para o que parece ser uma companhia de seguros, mas iria direto para o atacante. Nesse caso, conseguimos bloquear o ataque com sucesso”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.
Esses ataques cibernéticos, vistos com frequência, são particularmente difíceis de parar porque muitas vezes não há malware ou links maliciosos. O corpo do texto das mensagens não é tão diferente do que é normalmente enviado.
Ainda de acordo com a Avanan, a Cisco foi recentemente vítima de um ataque semelhante. Segundo a empresa, um atacante conseguiu roubar a senha de um funcionário, em seguida fingiu ser de uma organização de confiança durante chamadas telefônicas e e-mails.
Leia também: 6 etapas para atingir uma arquitetura Zero Trust
“Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família. A ideia é utilizar nomes e parceiros de confiança para conseguir que funcionários entreguem credenciais ou transfiram dinheiro. Sem utilizar malware, anexos ou links maliciosos, estes hacks representam o ápice da engenharia social”, destaca a Avanan.
“Os usuários finais devem sempre ter cautela antes de efetuarem pagamentos, confirmando diretamente com o CFO sempre e antes de pagar. Duas importantes recomendações são, primeiro, que as pessoas implementem segurança avançada de e-mail que verifique mais de um fator para determinar se um e-mail é malicioso ou não; e segundo, que se certifiquem de ler atentamente o e-mail por inteiro antes de agir, procurando por quaisquer discrepâncias”, alerta Fuchs.
O estudo ainda reforça que este tipo de ataque tem sido visto numa variedade de empresas e de setores. Qualquer CFO ou executivo de alto escalão é um alvo potencial. “O melhor, portanto, é bloquear de forma proativa estes ataques para que os usuários finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo”, recomenda a empresa.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…