Selecionar cuidadosamente o alvo e buscar retornos mais altos sobre o investimento, mesmo se você for um criminoso cibernético, é o maior motivo de uma transação. Este fenômeno iniciou uma nova tendência chamada BEC ou Fraude de compromisso de negócios. Este golpe cuidadosamente executado envolve o hacker usando Engenharia Social para determinar o CEO ou CFO da empresa alvo. Os cibercriminosos enviarão, então, e-mails fraudulentos, dirigidos a esse funcionário de alta gerência, aos funcionários encarregados das finanças. Isso fará com que alguns deles iniciem transferências eletrônicas.
Fraudes de compromisso de negócios
Em vez de gastar incontáveis horas de desperdício Phishing ou spamming das contas da empresa e acabar com nada, esta técnica parece estar funcionando muito bem para a comunidade hacker, porque mesmo um pequeno volume de negócios resulta em lucros substanciais. Um ataque BEC bem-sucedido é aquele que resulta em intrusão bem-sucedida no sistema de negócios da vítima, acesso irrestrito às credenciais dos funcionários e perdas financeiras substanciais para a empresa.
Técnicas de realização de BEC Scams
- Uso de imposição ou estímulo de tom no e-mail para incentivar uma rotatividade mais alta de funcionários concordando com o pedido sem investigação. Por exemplo, "Quero que você transfira esse valor para um cliente o mais rápido possível", o que inclui comando e urgência financeira.
- Email Spoofing endereços de e-mail reais usando nomes de domínio que estão quase perto do negócio real. Por exemplo, usar yah00 em vez de yahoo é bastante eficaz quando o funcionário não é muito insistente em verificar o endereço do remetente.
- Outra técnica importante que os criminosos cibernéticos usam é o valor solicitado para as transferências de fios. O valor solicitado no email deve estar em sincronia com a quantidade de autoridade que o destinatário tem na empresa. Espera-se que maiores quantias elevem a suspeita e a escalada da questão para a célula cibernética.
- Comprometer os emails empresariais e, em seguida, utilizar indevidamente os IDs.
- Usando assinaturas personalizadas, como "Enviadas do meu iPad" e "Enviadas do meu iPhone", que complementam o fato de que o remetente não precisa de acesso para fazer a transação.
Razões pelas quais o BEC é eficaz
Fraudes de comprometimento de negócios são realizadas para atingir funcionários de nível inferior disfarçados de um funcionário sênior. Isso joga com o sentido de medo Derivado da subordinação natural. Os funcionários de nível inferior, portanto, tendem a ser persistentes em relação à conclusão, principalmente sem se preocupar com detalhes complexos, com o risco de perder tempo. Então, se eles estão trabalhando em uma organização, provavelmente não seria uma boa ideia rejeitar ou atrasar um pedido do chefe. Se a encomenda realmente se revelar verdadeira, a situação seria prejudicial para o empregado.
Outra razão pela qual funciona é o elemento de urgência usado pelos hackers. Adicionar uma linha do tempo ao e-mail irá desviar o funcionário para concluir a tarefa antes que ele se preocupe em verificar detalhes como autenticidade do remetente.
Estatística de Fraudes de Compromisso de Negócios
- Casos BEC têm vindo a aumentar desde que foram descobertos há alguns anos atrás. Verificou-se que todos os estados dos EUA e mais de 79 países em todo o mundo têm corporações que foram alvo de golpes empresariais com sucesso.
- De fato, nos últimos 4 anos, mais de 17.500 empresas, especificamente funcionários, foram sujeitas às metas do BEC e acabaram causando perdas significativas para a empresa. A perda total de outubro de 2013 até fevereiro de 2016 chega a cerca de US $ 2,3 bilhões.
Prevenção de fraudes de compromisso de negócios
Embora não exista uma cura aparente para a engenharia social e invadir os sistemas da empresa com o acesso de um funcionário, certamente existem algumas maneiras de alertar os funcionários. Todos os funcionários devem ser informados sobre esses ataques e sua natureza geral. Eles devem ser aconselhados a verificar regularmente se há algum endereço de e-mail de falsificação em sua caixa de entrada. Além disso, todos os pedidos de gerenciamento de nível superior devem ser verificados com a autoridade por telefone ou contato pessoal. A empresa deve incentivar a dupla verificação de dados.