Como lidar com ataques BEC

Os cibercriminosos estão constantemente à procura de novas maneiras de atacar as empresas. Nos últimos anos, têm recorrido cada vez mais a ataques de comprometimento de e-mail corporativo (BEC, na sigla em inglês), direcionados às mensagens empresariais.

Somente o Centro de Denúncias de Crimes na Internet (IC3) dos EUA notificou 23.775 desses incidentes ao FBI em 2019 – aumento de 3.500 em relação a 2018, com danos pulando de US $ 1,2 bilhão para US $ 1,7 bilhão.

O que é um ataque BEC?

Um ataque BEC é definido como uma campanha cibercriminosa direcionada, que funciona do seguinte modo:

1. Início de uma troca de e-mail com um funcionário da empresa ou assumindo o controle de uma conta existente;
2. Conquistar a confiança do funcionários;
3. Incentivar ações que sejam prejudiciais aos interesses da empresa ou de seus clientes.

Geralmente, essas ações estão relacionadas à transferência de fundos para as contas dos criminosos ou ao envio de arquivos confidenciais, mas não se restringem a isso. Por exemplo, nossos especialistas encontraram recentemente uma solicitação que parecia vir do CEO de uma empresa, com instruções para enviar códigos de cartões-presente em mensagens de texto para algum número de telefone.

Embora as tentativas de ataques BEC geralmente usem truques no estilo de phishing, o ataque é um pouco mais sofisticado, com um pé em conhecimento tecnológico e outro em engenharia social. Além disso, as técnicas usadas são únicas: as mensagens não contêm links ou anexos maliciosos, mas os golpistas tentam enganar o dono do e-mail e, portanto, o destinatário, a considerar a mensagem legítima. É a engenharia social que tem o papel principal.

Uma coleta cuidadosa de dados sobre a vítima geralmente precede um ataque; o cibercriminoso usa essas informações depois para ganhar a confiança do alvo. A correspondência pode consistir em apenas duas ou três mensagens ou pode durar vários meses.

Como informação importante, vale a pena destacar que os ataques BEC de combinam vários cenários e tecnologias. Por exemplo, os cibercriminosos podem primeiro roubar as credenciais de um trabalhador comum usando spear phishing e, em seguida, lançar um ataque contra um funcionário de alto escalão da empresa.

Cenários mais comuns de ataques BEC

Já existem alguns cenários comuns de ataque BEC, mas os cibercriminosos estão sempre inventando novos. De acordo com nossas observações, a maioria dos casos é redutível a uma das quatro seguintes variantes:

• Parceiros comerciais fakes. O cibercriminoso se passa por um representante de uma organização com a qual a empresa do destinatário trabalha. Às vezes, é uma empresa real que a vítima realmente tem contato por motivos corporativos. Em outros casos, os golpistas tentam enganar as vítimas desatentas fingindo representar uma empresa falsa.
• Instruções do chefe. Aqui, os cibercriminosos criam uma mensagem falsa em nome de um gerente (geralmente de alto escalão) usando truques técnicos ou engenharia social.
• Mensagem de um advogado. Os golpistas escrevem para um funcionário de alto escalão (às vezes até para o CEO) com urgência e, acima de tudo, exigindo fundos confidenciais ou dados sensíveis. Frequentemente, representam um contratado, como um contador externo, fornecedor ou empresa de logística. No entanto, a maioria das situações que exigem uma resposta urgente e confidencial é de natureza legal, portanto as mensagens geralmente são enviadas em nome de um advogado ou escritório de advocacia.
• Sequestro de e-mail. O invasor obtém acesso ao e-mail do funcionário e emite uma instrução para transferir fundos ou enviar dados, ou ainda inicia uma troca de mensagens com as pessoas autorizadas a fazer tais operações. Essa estratégia é especialmente perigosa porque o invasor pode visualizar as mensagens na caixa de saída, facilitando a imitação do estilo de comunicação do funcionário.

Técnicas de ataques BEC

Os ataques do BEC também estão se desenvolvendo do ponto de vista tecnológico. Se em 2013 costumavam usar as contas de e-mail hackeadas de CEOs ou CFOs, hoje dependem cada vez mais de imitar com sucesso outra pessoa por meio de uma combinação de subterfúgios técnicos, engenharia social e falta de atenção por parte da vítima. Aqui estão os truques técnicos básicos utilizados:

• Remetente de e-mail falsificado. O golpista falsifica os cabeçalhos do e-mail. Como resultado, por exemplo, uma mensagem enviada de phisher@email.com parece vir de CEO@suacompanhia.com na caixa de entrada da vítima. Este método tem muitas variações e cabeçalhos diferentes podem ser alterados de várias maneiras. O principal perigo desse método de ataque é que não apenas os invasores podem manipular os cabeçalhos das mensagens – por vários motivos, os remetentes legítimos também podem fazê-lo.
• Domínios parecidos. O cibercriminoso registra um nome de domínio muito semelhante ao da vítima. Por exemplo, examp1e.com em vez de example.com. Em seguida, as mensagens são enviadas do endereço CEO@examp1e.com na esperança de que um funcionário descuidado não consiga identificar o domínio falso. A dificuldade aqui reside no fato de o invasor ser o proprietário do domínio falso, de modo que as informações sobre o remetente vão passar sem problemas em todas as verificações de segurança tradicionais.
• Mailsploits. Novas vulnerabilidades sempre são encontradas em clientes de e-mail. Às vezes, eles podem ser usados ​​para forçar o cliente a exibir um nome falso ou endereço do remetente. Felizmente, essas vulnerabilidades rapidamente chamam a atenção das empresas de segurança da informação, permitindo que as soluções de segurança rastreiem seu uso e evitem ataques.
• Sequestro de e-mail. Os invasores obtêm acesso total a uma conta de e-mail, e podem enviar mensagens quase indistinguíveis das reais. A única maneira de se proteger automaticamente contra esse tipo de ataque é usar ferramentas de aprendizado de máquina para determinar a autoria dos e-mails.

Casos que encontramos

Respeitamos a confidencialidade de nossos clientes, portanto, a seguir, não são mensagens reais, mas exemplos que ilustram algumas possibilidades comuns de ataques BEC.

Nome falso

O impostor tenta estabelecer contato com uma vítima em potencial, se passando por seu chefe. Para que o destinatário não tente entrar em contato com o seu superior verdadeiro, o golpista destaca a urgência da solicitação e a atual indisponibilidade por outros canais de comunicação:

O truque do nome falso

Uma análise mais detalhada revela que o nome do remetente (Bob) não corresponde ao endereço de e-mail real (not_bob@gmail.com). Nesse caso, o invasor falsificou apenas o nome exibido quando a mensagem é aberta. Esse tipo de ataque é especialmente eficaz em dispositivos móveis, que por padrão exibem apenas o nome do remetente, não o endereço.

Endereço falso

O cibercriminoso procura um funcionário da contabilidade que esteja autorizado a alterar dados bancários, escrevendo:

O truque dos dados falsos

Aqui, o cabeçalho da mensagem é alterado para que o cliente exiba o nome e o endereço de e-mail do funcionário legítimo, mas o e-mail do invasor é fornecido como endereço de resposta. Consequentemente, as respostas a esta mensagem são enviadas para not_bob@gmail.com. Muitos clientes ocultam o campo de resposta por padrão, portanto, essa mensagem parece genuína mesmo em inspeção minuciosa. Na teoria, um ataque usando essa mensagem poderia ser interrompido configurando corretamente o SPF, DKIM e DMARC no servidor de e-mail corporativo.

Falsificação fantasma

O criminoso, fingindo ser gerente, convence o funcionário da necessidade de cooperar com um advogado falso, que supostamente entrará em contato em breve:

Aqui, o campo do remetente contém não apenas o nome, mas também o endereço de e-mail falso. Não é a técnica mais avançada, mas ainda assim muitas pessoas caem nela, principalmente se o endereço real não for exibido na tela do destinatário (por exemplo, porque é muito longo).

Domínio parecido

Outro cibercriminoso tenta iniciar uma troca de e-mail com um funcionário da empresa:

O truque do domínio parecido

Este é um exemplo do método de domínio semelhante, que mencionamos acima. O fraudador registra primeiro um nome de domínio parecido com o confiável (neste caso, examp1e.com em vez de example.com) e, em seguida, espera que o destinatário não perceba.

Ataques BEC contra executivos de alto nível

Várias notícias recentes destacaram os ataques BEC que causaram danos significativos a empresas todos os portes e de diversas maneiras. Aqui estão alguns dos mais interessantes:

• Um cibercriminosos criou um domínio imitando o de um fabricante de eletrônicos de Taiwan e o usou para enviar faturas para grandes empresas (incluindo Facebook e Google) por um período de dois anos, embolsando US$ 120 milhões no processo.
• Fingindo fazer parte de uma empresa do setor de construção, cibercriminosos convenceram a Universidade do Sul do Oregon a transferir quase US$ 2 milhões para contas falsas.
• Alguns fraudadores interferiram na correspondência entre dois clubes de futebol, registrando um domínio contendo o nome de um deles, mas com uma extensão de domínio diferente. Os dois clubes, Boca Juniors e Paris Saint-Germain, estavam discutindo a transferência de um jogador e a comissão sobre o acordo. Como resultado, quase € 520 mil foram para várias contas de cibercriminosos no México.
• O braço europeu da Toyota perdeu mais de US$ 37 milhões para cibercriminosos como consequência de uma orientação falsa de transferência bancária que um funcionário considerou legítima.

Como lidar com ataques BEC

Os cibercriminosos usam uma gama bastante ampla de truques técnicos e métodos de engenharia social para ganhar confiança e realizar fraudes. No entanto, tomar várias medidas eficazes pode minimizar a ameaça de ataques do BEC:

• Configure o SPF, use assinaturas DKIM e implemente uma política DMARC para se proteger contra correspondências internas falsas. Em teoria, essas medidas também permitem que outras empresas autentiquem e-mails enviados em nome da sua organização (supondo, é claro, que as empresas tenham essas tecnologias configuradas). Este método é insuficiente em alguns aspectos (como não é possível impedir a falsificação de fantasmas ou domínios semelhantes), mas quanto mais empresas usam SPF, DKIM e DMARC, menor se torna o espaço de atuação dos cibercriminosos. O uso dessas tecnologias contribui para um tipo de imunidade coletiva contra muitos tipos de operações maliciosas com cabeçalhos de e-mail.
• Treine funcionários periodicamente para combater engenharia social. Uma combinação de oficinas e simulações prepara os funcionários para ficarem atentos e identificarem ataques BEC que eventualmente possam burlar outras camadas de defesa.
• Use soluções de segurança com tecnologias especializadas contra ataques BEC para vencer os vários vetores de ataque descritos neste post.

As soluções Kaspersky com filtragem de conteúdo, especialmente criadas em nosso laboratório, já identificam muitos tipos de ataques BEC e nossos especialistas desenvolvem continuamente tecnologias para proteger ainda mais contra os golpes mais avançados e sofisticados.