Eles parecem inocentes. Eles se parecem com e-mails originados de um executivo para um CEO ou de um CEO para um financeiro. Em suma, os e-mails são mais de natureza empresarial. Se o seu CEO lhe enviar um e-mail pedindo detalhes sobre seus impostos, qual a probabilidade de você fornecer a ele todos os detalhes? Você pensa em saber por que o CEO estaria interessado em seus detalhes fiscais? Vamos ver como Compromisso de e-mail comercial acontece, como as pessoas são levadas para um passeio e alguns pontos depois, como lidar com a ameaça.
Compromisso de e-mail comercial
Os golpes de Business Email Compromise geralmente exploram vulnerabilidades em diferentes clientes de email e fazem um email parecer como se fosse de um remetente confiável de sua organização ou parceiro de negócios.
Perda estimada nos últimos três anos devido a comprometimento de e-mail comercial
Entre 2013 e 2015, empresas de 79 países foram enganadas - EUA, Canadá e Austrália estão no topo. Os dados de 2015 a 2016 ainda não estão, mas podem ter aumentado, na minha opinião - porque os criminosos virtuais estão mais ativos do que nunca. Com coisas como spoofing de email e ransomware IoT, eles podem ganhar tanto dinheiro quanto quiserem. Eu não cobrirei ransomware neste artigo; só vai ficar com BEC (Business Email Compromise).
Caso você queira saber quanto dinheiro foi roubado dos 79 países durante 2013 a 2015, o número é…
$ 3,08,62,50,090
… De 22 mil casas comerciais nos 79 países! A maioria desses países pertence ao mundo desenvolvido.
Como funciona?
Nós falamos sobre spoofing de email mais cedo. É o método de manipular o endereço do remetente. Usando vulnerabilidades em diferentes clientes de email, os criminosos virtuais farão com que pareça que o email é de um remetente confiável - alguém em seu escritório ou alguém de seus clientes.
Além de usar spoofing de e-mail, os cibercriminosos às vezes comprometem os IDs de e-mail de diferentes pessoas em seu escritório e os utilizam para enviar mensagens que parecem vir de uma autoridade e que precisam de atenção prioritária.
A engenharia social também ajuda a obter os IDs de email e, em seguida, os detalhes da empresa e o dinheiro da empresa. Por exemplo, se você é um caixa, você pode receber um e-mail do fornecedor ou uma ligação solicitando que você altere o método de pagamento e credite valores futuros em uma nova conta bancária (que pertence aos cibercriminosos). Como o e-mail parece estar vindo do fornecedor, você acreditará em vez de fazer uma verificação cruzada. Tais atos são chamados fatura aparelhamento ou fraudes falsas na fatura.
Da mesma forma, você pode receber um e-mail do seu chefe pedindo para lhe enviar seus dados bancários ou informações do cartão. Os criminosos podem citar qualquer motivo, como se estivessem depositando algum dinheiro em sua conta ou cartão. Como o e-mail vem ou parece vir do chefe, você não pensa muito e responderia o mais rápido possível.
Alguns outros casos foram detectados quando um CEO de uma empresa envia um e-mail solicitando detalhes de seus colegas. A ideia é usar a autoridade dos outros para enganar você e sua empresa. O que você fará se receber um e-mail do seu CEO dizendo que ele precisa de alguns fundos transferidos para uma determinada conta? Você não seguiria os protocolos relacionados? Então, por que o CEO os ignorou? Como eu disse anteriormente, os cibercriminosos usam a autoridade de alguém em sua empresa para pressioná-lo a abrir mão de informações e dinheiro cruciais.
Business Email Compromise: Como prevenir?
Deve haver um sistema que possa procurar certas palavras ou frases e, com base nos resultados, classificar e remover e-mails falsos. Existem alguns sistemas que usam o método para desviar spam e lixo.
No caso de Fraudes de Compromisso de Negócios ou Fraudes do CEO, torna-se difícil verificar e identificar emails falsos porque:
- Eles são personalizados e parecem originais
- Eles são originários de um ID de e-mail confiável
O melhor método para impedir o comprometimento de e-mail comercial é instruir os funcionários e pedir que eles se certifiquem de que os protocolos relacionados estejam sendo encaminhados. Se um caixa vir um email de seu chefe pedindo-lhe para transferir alguns fundos para uma certa conta, o caixa deve ligar para o chefe para ver se ele realmente quer fundos transferidos para a conta bancária aparentemente alienígena. Fazer uma chamada de confirmação ou escrever um e-mail extra ajuda os funcionários a saber se certas coisas realmente devem ser feitas ou se é um e-mail falso.
Como cada empresa tem seu próprio conjunto de regras, as pessoas envolvidas devem verificar se o protocolo relevante está sendo seguido. Por exemplo, pode ser necessário que o CEO envie um email para o departamento financeiro e para o caixa, se precisar de dinheiro. Se você perceber que o CEO entrou em contato diretamente com o caixa e não enviou nenhum voucher ou carta ao departamento de contabilidade, há grandes chances de que seja um e-mail falso. Ou, se não houver uma declaração sobre o motivo pelo qual o CEO está transferindo dinheiro para alguma conta, há algo errado. Uma declaração ajuda o departamento de contabilidade a equilibrar os livros. Sem essa declaração, eles não podem criar uma entrada adequada no livro de registros do escritório.
Outras coisas que você pode fazer são: - Evite contas de e-mail gratuitas baseadas na Web, e tenha cuidado com o que é postado nas mídias sociais e nos sites da empresa. Crie regras do sistema de detecção de invasões que sinalizem e-mails com extensões semelhantes a e-mail da empresa.
Assim, o método básico e mais eficaz para impedir o comprometimento de e-mail comercial é manter-se alerta. Isso se traduz em educar os funcionários sobre possíveis problemas e como fazer checagens cruzadas, etc.Também é uma boa prática não discutir detalhes de negócios com estranhos que não têm nada a ver com o negócio.
Se você é uma vítima deste tipo om email scam você pode querer registrar uma queixa com IC3.gov.