Cibercriminosos se passam por CEOs de empresas para roubar dinheiro

3 min de leitura
Imagem de: Cibercriminosos se passam por CEOs de empresas para roubar dinheiro

A Trend Micro divulgou um golpe que vem roubando dinheiro de diversas vítimas nos EUA: cibercriminosos se passam por CEOs de empresas específicas e pedem por uma transferência de dinheiro urgente aos funcionários. Na tentativa de parecer um bom samaritano ao chefe, o funcionário acaba virando vítima.

Neste ano, já foram roubados mais de US$ 12,5 bilhões

O golpe começa por meio do comprometimento de emails empresariais (BEC). Dessa maneira, os cibercriminosos podem estudar mais a empresa e preparar a fraude. Segundo Leonardo Souza, engenheiro de vendas da Trend Micro, “o que faz esse tipo de ataque tão eficiente é a engenharia social empregada. Além das recomendações convencionais de proteção dos gateways como antispam, firewall e outras ferramentas é fundamental que haja treinamentos e conscientização de segurança em todos os setores da empresa que mostrem aos colaboradores esse tipo de ataque. Um simples telefonema ou mensagem no smartphone pode evitar grandes perdas financeiras”.

Neste ano, já foram roubados mais de US$ 12,5 bilhões em todo o mundo por meio deste golpe. O número alto supera a previsão da Trend Micro para 2018, que era de US$ 3 bilhões.

Para não cair neste tipo de golpe, é preciso ficar atento aos seguintes pontos:

  • Uso avançado de engenharia social

Dentro das diversas artimanhas envolvidas no BEC, os hackers não se limitam a criar um e-mail genérico, com uma linguagem qualquer, e depois torcem para que dê certo. Ao invés disso, eles investem em engenharia social, criando um ataque detalhado, que aumenta as chances do alvo abrir e responder a mensagem.

  • Emails customizados

Graças ao uso criterioso de engenharia social, os cibercriminosos podem criar e-mails incrivelmente realistas, que incluem os nomes dos alvos e podem ainda parecer vir de pessoas de dentro da própria empresa. Por exemplo, um contador pode receber um e-mail fraudulento pedindo a transferência de fundos diretamente do CEO da empresa, incluindo uma versão pirata do e-mail dele e até com sua assinatura. Diante disso, é possível que quem receba o e-mail seja levado a fazer a transferência, dado o realismo do e-mail.

  • Falta de links maliciosos ou anexos

Embora todo o processo de pesquisa e planejamento dos hackers seja complexo, a aplicação do golpe é muito simples. Ataques de BEC são efetivos por serem convincentes, e acabam passando sem levantar as suspeitas típicas de ataques de e-mail. “Como estes golpes não apresentam links ou anexos, eles escapam das ferramentas tradicionais”, aponta o relatório da Trend Micro.

  • Impressão de urgência

Além de usar de engenharia social para incluir nomes, endereços e outros detalhes legítimos para enganar suas vítimas, os hackers também procuram passar uma sensação de urgência na mensagem para maximizar a chance de sucesso. Muitas das mensagens analisadas pela Trend Micro incluíam linguagem enfática, com termos como “urgente”, “pagamento”, “transferência”, “requisição” e outras que ajudam a dar peso à mensagem.

Esta impressão de urgência, o pedido de alguma ação ou o caráter financeiro da mensagem usada nos golpes de BEC engana as vítimas e as leva a cair na armadilha, explica a Trend Micro. Por exemplo, o cibercriminoso entra em contato com os colaboradores da empresa fingindo ser algum fornecedor, representantes de escritórios de advocacia ou mesmo o CEO e manipula o alvo para que faça a transferência de valores.

  • Variedade de estilos para atingir a diversos tipos de vítimas

Em adição aos já mencionados fatores, os hackers têm uma ampla variedade de estilos de ataques e possuem a capacidade de escolher o que mais tem chance de funcionar contra determinado alvo, baseado em seus estudos de engenharia social. Por exemplo, um hacker que queira atacar o CEO de uma empresa poderia posar como um fornecedor requisitando pagamento de uma nota vencida. Já caso o alvo não tenha muitos fornecedores e que, portanto, talvez não caísse nesta abordagem, poderia tentar se passar por um funcionário do RH tentando obter informações pessoais.

Categorias

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.