O email continua a ser simultaneamente uma das mais utilizadas ferramentas de negócio e um dos veículos de ataque mais utilizado por atores maliciosos.
A par dos ataques de SPAM, de phishing, ou das tentativas de propagação de malware e ransomware, um dos tipos de ataque por email que tem crescido de forma significativa é o Business Email Compromise (BEC), em português, Comprometimento de Email Corporativo.
O que é o BEC?
O BEC é um ataque do tipo burla via email, com recurso a engenharia social. Esta tipologia de ataque é dirigida a organizações públicas ou privadas de todas as dimensões e pode enquadrar-se no chamado crime financeiro.
Embora os primeiros ataques identificados como BEC remontem a 2013, tal como outras tipologias que recorrem a Engenharia Social, este tipo de burla tem evoluído e aumentado significativamente desde então.
O BEC é preferencialmente dirigido a algumas funções específicas nas organizações e tem como objetivo final a transferência de montantes (por norma elevados) para uma conta bancária que pertence ou é controlada pelos atacantes.
Em que contextos ocorrem os ataques de BEC?
Nos cenários mais comuns, o atacante apresenta-se como alguém com cargo executivo na organização ou, mais frequentemente, como um parceiro de negócio, e tenta ludibriar o alvo para que faça ou autorize um pagamento para um determinado número de conta bancária distinto do previamente acordado entre as organizações para a realização do pagamento.
Para dar mais credibilidade à solicitação, o atacante pode apresentar dados específicos quanto ao pagamento a realizar – tais como: a entidade credora, número de fatura a pagamento e respetivos montantes – e “apenas” solicitar uma alteração ao número de conta bancária a creditar.
Caso a transferência bancária venha a ser realizada para o número de conta solicitado, muito provavelmente perde-se se o rasto ao dinheiro, dificilmente o montante transferido é recuperado e algum tempo depois temos a verdadeira entidade credora a solicitar o pagamento que continua em dívida.
Como é planeado um ataque de BEC?
Na fase de preparação de ataque são utilizadas técnicas de engenharia social para a recolha de informação, e escolha dos alvos. Para a concretização da burla, os atacantes podem utilizar técnicas de impersonização, como por exemplo domain spoofing, lookalike domains ou fake-email-names, que os ajudam a simular que são efetivamente quem dizem ser e da organização que dizem representar.
Além do caso acima descrito em que o atacante recorre a técnicas de simulação para se apresentar como sendo outro interlocutor, há uma situação específica de BEC que decorre de comprometimento de contas de email legítimas. Se os atores maliciosos se tiverem apropriado indevidamente de credenciais válidas de acesso a contas de email legítimas, estamos na presença do que chamamos Email Account Compromise ou Email Account Takeover. Se estas credenciais forem utilizadas para perpetrar um ataque BEC, as técnicas de simulação já não são necessárias e o atacante apresenta-se como sendo um interlocutor válido, por via da usurpação de credenciais.
Note-se que o BEC se foca no fator humano (a solicitação vem de um “parceiro de negócio habitual” ou de “chefia de topo”, o texto demonstra conhecimento sobre detalhes da situação, há um sentido de urgência, eventualmente apresenta motivo plausível para a “atualização” do número de conta e para a urgência, …).
Para potenciar a capacidade de identificação e eliminação deste tipo de ataques, é necessária uma abordagem mista que conjugue aspetos tecnológicos, procedimentais e comportamentais.
Embora deva estar acautelada uma componente de caracter tecnológico que ajude a prevenir e detetar atempadamente este tipo de situação, esta deve estar articulada com procedimentos e processos adequados no que respeita a autorizações e alterações a pagamentos e aos respetivos mecanismos de aplicação.
Como prevenir um ataque de BEC?
Em complemento à sensibilização para Cibersegurança que deve abranger a totalidade dos funcionários de cada organização, é conveniente disponibilizar formação e informação específica sobre o tipo de esquemas utilizados nas fraudes BEC aos grupos de utilizadores cujas funções na organização os tornem alvos preferenciais destes esquemas.
__
José António Duque
Cybersecurity Operations, Principal da PwC Portugal
Garanta a segurança digital da sua empresa
Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças. Fale com os nossos especialistas em Cibersegurança.
Subscreva a nossa mailing list de Cibersegurança
Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.
Contacte-nos
