Business
Há pouco tempo, uma importante empresa brasileira nos contatou, solicitando ajuda na investigação de um incidente. Basicamente, o problema era que os cibercriminosos começaram a enviar spam usando os e-mails de seus funcionários. Ou seja, não se fizeram passar por remetentes legítimos, como costuma ser o caso, mas enviaram as mensagens diretamente do servidor de e-mail da empresa. Após uma árdua análise, conseguimos determinar o modus operandi dos cibercriminosos.
Estratégia de ataque
Primeiro, os golpistas enviaram mensagens de phishing aos funcionários para informá-los de que suas caixas de e-mail seriam bloqueadas por diversos motivos e os convidaram a acessar um link para atualizar as informações da conta. Evidentemente, a página de destino era de phishing e solicitava as credenciais de acesso do sistema.
As vítimas preencheram o formulário, dando aos cibercriminosos acesso total às suas contas de e-mail. Os golpistas começaram a enviar spam das contas comprometidas, sem precisar alterar as assinaturas e os detalhes técnicos das mensagens, porque eram “legítimas”. O spam, portanto, veio de servidores com boa reputação e não levantou suspeitas nos filtros de segurança.
Depois de ganhar o controle das caixas de e-mail, os cibercriminosos seguiram para a próxima onda de mensagens. Nesse caso, enviaram o “spam nigeriano” em vários idiomas (embora, teoricamente, o conteúdo pudesse ser qualquer coisa, desde ofertas de produtos farmacêuticos do mercado paralelo até malware).
A investigação mostrou que a empresa brasileira não havia sido a única vítima, já que essa mesma mensagem foi enviada por várias organizações públicas e sem fins lucrativos, o que agregou maior relevância e credibilidade ao conteúdo.
Consequências
O uso de servidores corporativos para enviar mensagens fraudulentas pode destruir a reputação do seu negócio, especialmente se os invasores distribuírem malware.
Mas as consequências podem ser ainda piores, já que geralmente as credenciais de cadastro dos e-mails dos funcionários coincidem com a senha e nome de usuário da intranet, por exemplo, assim o roubo dessas informações também poderia possibilitar a invasão de outros serviços corporativos.
Com o acesso ao e-mail de um dos funcionários, os cibercriminosos poderiam tentar lançar ataques contra os demais colegas, parceiros ou autoridades governamentais. Essas tentativas são complicadas, pois exigem habilidades de engenharia social de primeira linha para persuadir a vítima na execução de todas as ações necessárias. De qualquer forma, os danos que podem causar são imprevisíveis.
Essa fraude é conhecida como uma violação de e-mails corporativos (em inglês, business e-mail compromisse, e pela sigla BEC) e pode ser uma verdadeira dor de cabeça para as empresas invadidas, uma vez que o falso remetente tenta obter os dados da conta, os documentos financeiros e outras informações confidenciais por meio de e-mails. Além disso, detectar mensagens BEC é muito complicado, pois vêm de um endereço real e contêm cabeçalhos, assinaturas e padrões técnicos legítimos e conteúdo relevante.
Como proteger sua empresa e seus funcionários
Para proteger a reputação de sua empresa e evitar spam malicioso, nossa sugestão é o uso de uma solução de proteção confiável que consiga rastrear ataques de phishing no servidor de e-mail e nos computadores dos colaboradores. Além disso, é fundamental atualizar periodicamente os bancos de dados antispam e os componentes antiphishing.
Dicas