O que é o Business Email Compromise (BEC)?

O Business Email Compromise (BEC) é um tipo sofisticado de ataque cibernético que visa empresas e indivíduos que efectuam pagamentos por transferência bancária. O objetivo destes ataques é enganar a vítima para que esta efectue uma transferência bancária ou revele informações sensíveis ao atacante, que se faz passar por uma entidade de confiança. Esta forma de cibercrime registou um aumento significativo nos últimos anos, causando perdas financeiras substanciais a empresas de todo o mundo.

O termo BEC é frequentemente utilizado como sinónimo de Email Account Compromise (EAC), que é um tipo de ataque semelhante. No entanto, a principal diferença reside no alvo; enquanto os ataques BEC visam principalmente empresas, os ataques EAC também podem visar indivíduos. Estes ciberataques exploram o facto de as pessoas serem frequentemente o elo mais fraco da cadeia de segurança e dependem fortemente de técnicas social engineering para serem bem sucedidos.

Tipos de ataques de comprometimento de e-mail comercial (BEC)

Existem vários tipos de ataques BEC, cada um com as suas caraterísticas e métodos únicos. A compreensão destes diferentes tipos pode ajudar as empresas e os indivíduos a protegerem-se melhor contra estas ameaças.

Os tipos comuns de ataques BEC incluem Fraude de CEO, Esquema de Faturação Falsa, Compromisso de Conta, Falsificação de Advogado e Roubo de Dados. Cada um destes tipos será analisado em pormenor nas secções seguintes.

Fraude do Diretor Executivo

A fraude do CEO, também conhecida como Whaling, é um tipo de ataque BEC em que o atacante se faz passar por um executivo de alto nível dentro da empresa. Normalmente, o atacante envia uma mensagem de correio eletrónico a um funcionário do departamento financeiro, solicitando uma transferência urgente para uma conta específica.

O e-mail é concebido para parecer que veio do CEO ou de outro executivo de alto nível e inclui frequentemente um sentido de urgência ou de secretismo para pressionar o destinatário a cumprir o pedido sem o questionar. Este tipo de ataque pode ser muito eficaz, uma vez que é menos provável que os funcionários questionem os pedidos que parecem vir dos seus superiores.

Esquema de facturas falsas

Num esquema de fatura falsa, o atacante faz-se passar por um vendedor ou fornecedor com quem a empresa lida regularmente. O atacante envia uma fatura de um produto ou serviço, muitas vezes com os dados de pagamento alterados para uma conta controlada pelo atacante.

Como a fatura parece vir de uma fonte de confiança, é provável que o destinatário pague a fatura sem se aperceber de que está a enviar dinheiro para o atacante. Este tipo de ataque BEC pode ser particularmente eficaz contra empresas que não dispõem de fortes controlos internos para a verificação e aprovação de facturas.

Como funcionam os ataques BEC

Os ataques BEC baseiam-se fortemente em técnicas social engineering para enganar a vítima e fazê-la acreditar que o e-mail é de uma fonte fiável. O atacante passa frequentemente uma quantidade significativa de tempo a pesquisar o alvo para tornar a mensagem de correio eletrónico o mais convincente possível.

O atacante pode utilizar informações recolhidas nas redes sociais, nos sítios Web da empresa e noutras fontes públicas para conhecer a estrutura, os funcionários e os parceiros comerciais da empresa. Estas informações podem depois ser utilizadas para criar uma mensagem de correio eletrónico convincente que pareça vir de uma fonte fidedigna.

Phishing e Spear Phishing

O phishing e o spear phishing são técnicas comuns utilizadas nos ataques BEC. Num ataque phishing, o atacante envia um e-mail genérico a um grande número de alvos, esperando que alguns deles caiam no esquema. O e-mail contém frequentemente uma hiperligação para um sítio Web falso onde é pedido à vítima que introduza as suas credenciais de início de sessão.

O Spear phishing, por outro lado, é uma forma mais direcionada do phishing. O atacante visa indivíduos ou empresas específicas, e o e-mail é frequentemente personalizado para o tornar mais convincente. O Spear phishing é normalmente utilizado em ataques BEC, uma vez que permite ao atacante visar indivíduos específicos dentro da empresa que têm autoridade para efetuar transferências bancárias ou revelar informações sensíveis.

Falsificação de correio eletrónico

O e-mail spoofing é outra técnica comummente utilizada nos ataques BEC. Num ataque email spoofing, o atacante modifica o cabeçalho da mensagem de correio eletrónico para fazer parecer que a mensagem provém de uma fonte diferente. Isto pode fazer com que seja difícil para o destinatário identificar a mensagem de correio eletrónico como uma fraude, uma vez que parece vir de uma fonte de confiança.

No entanto, existem formas de detetar o email spoofing. Por exemplo, o destinatário pode verificar o cabeçalho do correio eletrónico para ver se o caminho de retorno corresponde ao endereço de correio eletrónico do remetente apresentado. Se os dois não corresponderem, isso pode ser um sinal de email spoofing.

Prevenção de ataques BEC

A prevenção de ataques BEC requer uma combinação de medidas técnicas e de educação dos utilizadores. Do ponto de vista técnico, as empresas podem implementar soluções de filtragem de correio eletrónico capazes de detetar e bloquear os e-mails phishing e outros tipos de e-mails maliciosos. Podem também utilizar a autenticação de dois factores (2FA) para adicionar uma camada extra de segurança às suas contas de correio eletrónico.

Do lado do utilizador, a educação é fundamental. Os utilizadores devem ser treinados para reconhecer os sinais de um ataque BEC, tais como pedidos invulgares de transferências bancárias ou alterações nos detalhes de pagamento. Devem também ser encorajados a verificar quaisquer e-mails suspeitos, contactando o suposto remetente através de um canal de comunicação separado.

Medidas técnicas

Existem várias medidas técnicas que as empresas podem adotar para se protegerem contra os ataques BEC. Uma das medidas mais eficazes é a utilização de soluções de filtragem de correio eletrónico. Estas soluções podem detetar e bloquear os e-mails phishing, bem como e-mails que contenham anexos ou ligações maliciosas.

Outra medida eficaz é a utilização da autenticação de dois factores (2FA). Com a 2FA, os utilizadores são obrigados a fornecer duas formas de identificação quando iniciam sessão na sua conta de correio eletrónico. Isto pode reduzir significativamente o risco de comprometimento da conta, uma vez que o atacante necessitaria tanto da palavra-passe do utilizador como da segunda forma de identificação para obter acesso à conta.

Educação do utilizador

A formação dos utilizadores é uma componente essencial de qualquer estratégia de cibersegurança. Os utilizadores devem ser treinados para reconhecer os sinais de um ataque BEC, tais como pedidos invulgares de transferências bancárias ou alterações nos detalhes de pagamento. Devem também ser encorajados a verificar quaisquer mensagens de correio eletrónico suspeitas, contactando o suposto remetente através de um canal de comunicação separado.

As sessões de formação regulares podem ajudar a manter os utilizadores actualizados sobre as mais recentes tácticas e técnicas de BEC. Estas sessões podem também dar aos utilizadores a oportunidade de colocar questões e discutir quaisquer preocupações que possam ter sobre os ataques BEC.

Responder a ataques BEC

Se uma empresa for vítima de um ataque de BEC, é importante reagir rapidamente para minimizar os danos. A empresa deve contactar imediatamente o banco para interromper a transferência fraudulenta e comunicar o incidente às autoridades policiais locais e ao Internet Crime Complaint Center do FBI.

A empresa deve também efetuar uma investigação exaustiva para determinar como ocorreu o ataque e que medidas podem ser tomadas para evitar futuros ataques. Isto pode envolver a revisão de registos de correio eletrónico, entrevistas a funcionários e a realização de uma análise forense da conta de correio eletrónico comprometida.

Contactar o Banco

Se uma empresa for vítima de um ataque BEC, uma das primeiras medidas a tomar é contactar o seu banco. O banco pode ser capaz de parar a transferência fraudulenta se esta ainda não tiver sido concluída. A empresa deve fornecer ao banco todas as informações de que dispõe sobre o ataque, incluindo a data e a hora da transferência, o montante transferido e a conta para a qual o dinheiro foi transferido.

Mesmo que o banco não consiga impedir a transferência, pode prestar uma assistência valiosa. Por exemplo, podem ajudar a empresa a localizar o dinheiro e a identificar o destinatário. Podem também aconselhar sobre os passos que a empresa deve dar a seguir.

Comunicar o incidente

Comunicar o incidente às autoridades policiais locais e ao Centro de Reclamações sobre Crimes na Internet do FBI é outro passo importante. As autoridades policiais podem investigar o incidente e podem conseguir recuperar parte ou a totalidade dos fundos roubados. Também podem fornecer conselhos e assistência sobre como evitar futuros ataques.

O Internet Crime Complaint Center do FBI recolhe dados sobre crimes cibernéticos, incluindo ataques BEC. Ao comunicar o incidente, as empresas podem ajudar o FBI a seguir e investigar estes crimes. Isto pode levar à identificação e acusação dos criminosos por detrás dos ataques e pode também contribuir para o desenvolvimento de novas estratégias e técnicas de prevenção de ataques BEC.

Conclusão

O Business Email Compromise (BEC) é uma ameaça séria para empresas e indivíduos. Estes ataques podem resultar em perdas financeiras substanciais e podem também prejudicar a reputação de uma empresa. No entanto, com as medidas corretas em vigor, as empresas podem reduzir significativamente o risco de serem vítimas de um ataque BEC.

A prevenção de ataques BEC requer uma combinação de medidas técnicas e de formação dos utilizadores. As empresas devem implementar soluções de filtragem de correio eletrónico e autenticação de dois factores para proteger as suas contas de correio eletrónico, e devem também fornecer formação regular aos seus utilizadores para os ajudar a reconhecer e responder a ataques BEC. Se uma empresa for vítima de um ataque BEC, é importante reagir rapidamente para minimizar os danos e evitar futuros ataques.