O que é o fraude por e-mail de negócios (BEC)?

Em um ataque BEC, um cibercriminoso (ou gangue de cibercriminosos) envia e-mails aos funcionários da organização-alvo que parecem ser de um colega de trabalho, fornecedor, parceiro, cliente ou outro associado. Os e-mails enganam os funcionários a pagar faturas fraudulentas, transferir dinheiro para contas bancárias falsas ou divulgar informações sensíveis, como dados de clientes, propriedade intelectual ou finanças corporativas.

Em casos raros, os atacantes BEC tentam espalhar ransomware ou malware pedindo às vítimas que abram um anexo ou cliquem em um link malicioso.Eles também realizam pesquisas minuciosas sobre os funcionários que visam e as identidades que usurpam para que seus e-mails pareçam legítimos. Técnicas de engenharia social, como falsificação de endereço de e-mail e pretexto, auxiliam na criação de e-mails de ataque convincentes que parecem e soam como se fossem enviados pelo remetente falsificado.

Às vezes, os golpistas hackeiam e sequestram a conta de e-mail do remetente, tornando os e-mails de ataque ainda mais críveis, se não indistinguíveis das mensagens de e-mail legítimas.Os ataques de comprometimento de e-mail comercial estão entre os ataques cibernéticos mais caros.

De acordo com o relatório do custo das violações de dados da IBM de 2022, os golpes BEC são o segundo tipo de violação mais caro, custando em média US$ 4,89 milhões. De acordo com o relatório de crimes na internet do FBI Internet Crime Complaint Center, os golpes BEC custaram às vítimas dos EUA um total de US$ 2,7 bilhões em 2022.

Especialistas em cibersegurança e o FBI identificam seis principais tipos de ataques BEC.

O invasor de BEC finge ser um fornecedor com quem a empresa trabalha e envia ao funcionário-alvo um e-mail com uma fatura falsa anexada. Quando a empresa paga a fatura, o dinheiro vai diretamente para o invasor. Para tornar esses ataques convincentes, o invasor pode interceptar faturas reais de fornecedores e modificá-las para direcionar os pagamentos para suas próprias contas bancárias.

Notavelmente, ostribunais decidiram que as empresas que caem em golpes de faturas falsas ainda são responsáveis por suas contrapartes reais.

Um dos maiores golpes de faturas falsas foi realizado contra o Facebook e o Google. De 2013 a 2015, um golpista que se passou pela Quanta Computer, um fabricante de hardware real com quem ambas as empresas trabalham, roubou US$ 98 milhões do Facebook e US$ 23 milhões do Google. Embora o golpista tenha sido preso e ambas as empresas tenham recuperado a maior parte de seu dinheiro, esse resultado é raro para golpes BEC.

Golpistas fingem ser executivos, geralmente um CEO, e pedem a um funcionário para transferir dinheiro para algum lugar. Este pedido é frequentemente sob o pretexto de fechar um negócio, pagar uma fatura atrasada ou até mesmo comprar cartões-presente para colegas de trabalho.

Esquemas de fraude de CEO frequentemente criam um senso de urgência, empurrando o alvo a agir rapidamente e de forma precipitada, por exemplo, "Esta fatura está atrasada e vamos perder o serviço se não a pagarmos imediatamente". Outra técnica é criar um senso de sigilo para impedir que o alvo consulte colegas de trabalho, por exemplo, "Este negócio é confidencial, então não conte a ninguém sobre isso."

Em 2016, um golpista posando como CEO da fabricante aeroespacial FACC usou uma aquisição falsa para enganar um funcionário para transferir US$ 47 milhões. Como resultado do golpe, o conselho da empresa demitiu tanto o CFO quanto o CEO por "violar" suas funções.

Golpistas assumem o controle da conta de e-mail de um funcionário não executivo e depois enviam faturas falsas para outras empresas ou enganam outros funcionários a compartilhar informações confidenciais. Golpistas frequentemente usam o EAC para obter as credenciais de contas de nível superior que podem usar para fraudes de CEO.

Golpistas se passam por advogados e pedem à vítima que pague uma fatura ou compartilhe informações confidenciais. Golpes de personificação de advogados dependem do fato de que as pessoas tendem a cooperar com advogados, e não é estranho se um advogado pedir confidencialidade.

Membros da gangue russa de BEC, Cosmic Lynx, frequentemente se passam por advogados como parte de um  ataque de dupla personificação. Primeiro, o CEO da empresa alvo recebe um e-mail apresentando-o a um "advogado" que está ajudando a empresa com uma aquisição ou outro negócio. Então, o advogado falso envia um e-mail ao CEO solicitando que ele faça um pagamento para fechar o negócio. Em média, os ataques da Cosmic Lynx roubam US$ 1,27 milhão de cada alvo.

Muitos ataques de BEC visam funcionários de RH e finanças para roubar informação de identificação pessoal (PII) e outros dados confidenciais para cometer roubo de identidade ou cibercrimes.

Por exemplo, em 2017, o IRS alertousobre um golpe de BEC que roubava dados dos funcionários. Golpistas se passavam por executivos da empresa e pediam a um funcionário de folha de pagamento para enviar cópias dos W-2 dos funcionários (que incluem números de previdência social e outras informações confidenciais). Alguns dos mesmos funcionários de folha de pagamento receberam e-mails de "acompanhamento" solicitando que transferências eletrônicas fossem feitas para uma conta fraudulenta. Os golpistas presumiram que os alvos que consideraram o pedido de W-2s como crível eram excelentes alvos para um pedido de transferência eletrônica.

No início de 2023, o FBI alertou sobre um novo tipo de ataque em que golpistas se passam por clientes corporativos para roubar produtos da empresa-alvo. Usando informações financeiras falsas e se passando por funcionários do departamento de compras de outra empresa, os golpistas negociam uma grande compra a crédito. A empresa-alvo envia o pedido (geralmente materiais de construção ou hardware de computador), mas os golpistas nunca pagam.

Tecnicamente, BEC é um tipo de spear phishing — um ataque de phishing que visa um indivíduo ou grupo específico de indivíduos. O BEC é único entre os ataques de spear phishing, visando o funcionário ou associado de uma empresa ou organização, e o golpista se passa por um colega que o alvo conhece ou em quem está inclinado a confiar.

Enquanto alguns ataques de BEC sejam obra de golpistas solitários, outros são iniciados por gangues de BEC. Essas gangues operam como empresas legítimas, empregando especialistas como especialistas em produção de leads que caçam alvos, hackers que invadem contas de e-mail e escritores profissionais que garantem que os e-mails de phishing estejam livres de erros e sejam convincentes.

Uma vez que o golpista ou a gangue tenha escolhido uma empresa para roubar, um ataque de BEC normalmente segue o mesmo padrão.

Quase qualquer empresa, organização sem fins lucrativos ou governo é um alvo adequado para ataques de BEC. Grandes organizações com muito dinheiro e clientes (e transações suficientes para que as explorações do BEC possam passar despercebidas entre elas) são alvos óbvios.

Mas eventos globais ou locais podem levar os atacantes BEC a oportunidades mais específicas—algumas mais óbvias do que outras. Por exemplo, durante a pandemia de COVID-19, o FBI alertou que golpistas BEC se passando por fornecedores de equipamentos e suprimentos médicos estavam emitindo faturas para hospitais e agências de saúde.

No outro extremo (mas não menos lucrativo) do espectro, em 2021, golpistas de BEC aproveitaram-se de projetos de educação e construção bem divulgados em Peterborough, NH, e desviaram US$ 2,3 milhões em fundos da cidade para contas bancárias fraudulentas.

Em seguida, os golpistas começam a pesquisar a organização-alvo e suas atividades para determinar os funcionários que receberão os e-mails de phishing e as identidades dos remetentes que os golpistas irão falsificar (incorporar).

Os golpes de BEC geralmente visam funcionários de nível médio—por exemplo, gerentes do departamento financeiro ou de recursos humanos (RH)—que têm autoridade para emitir pagamentos ou que têm acesso a dados sensíveis, e que estão inclinados a cumprir tais solicitações de um gerente ou executivo sênior. Alguns ataques BEC podem visar novos funcionários que podem ter pouco ou nenhum treinamento de conscientização sobre segurança e entendimento limitado de procedimentos e aprovações adequadas de pagamento ou compartilhamento de dados.

Para a identidade do remetente, os golpistas escolhem um colega ou associado que possa solicitar ou influenciar de maneira crível a ação que o golpista deseja que o funcionário-alvo tome. Identidades de colegas de trabalho são tipicamente gerentes de alto nível, executivos ou advogados dentro da organização.

Identidades externas podem ser executivos de organizações de fornecedores ou parceiros, mas também podem ser pares ou colegas do funcionário-alvo—por exemplo, um fornecedor com quem o funcionário-alvo trabalha regularmente, um advogado que assessora em uma transação ou um cliente existente ou novo.

Muitos golpistas usam as mesmas ferramentas de produção de leads que profissionais de marketing e vendas legítimos usam, LinkedIn e outras redes sociais, fontes de notícias de negócios e do setor, software de prospecção e criação de listas — para encontrar possíveis alvos de funcionários e identidades de remetentes correspondentes.

Nem todos os invasores de BEC dão o passo de invadir as redes das organizações-alvo e remetente. Mas aqueles que o fazem se comportam como malware, observando alvos e remetentes e acumulando informações e privilégios de acesso por semanas antes do ataque real. Isso pode permitir que os invasores:

• Escolham os melhores alvos de funcionários e identidades de remetentes com base em comportamentos observados e privilégios de acesso.
  
  

• Saibam mais detalhes sobre como as faturas são enviadas e como os pedidos de pagamento ou dados confidenciais são tratados para melhor personificar solicitações em seus e-mails de ataque.
  
  

• Determinem as datas de vencimento para pagamentos específicos a fornecedores, advogados, etc.
  
  

• Interceptem uma fatura legítima de fornecedor ou ordem de compra e a alterem para especificar o pagamento na conta bancária do invasor.
  
  

• Assumam o controle da conta de e-mail real do remetente, permitindo que o golpista envie e-mails de ataque diretamente da conta, e às vezes até em conversas de e-mail legítimas em andamento, para a máxima autenticidade.

Uma representação convincente é fundamental para o sucesso do BEC, e os golpistas elaboram seus e-mails de ataque para obter a máxima autenticidade e credibilidade. Se não tiverem hackeado a conta de e-mail do remetente, os golpistas criam uma conta de e-mail falsa que falsifica o endereço de e-mail do remetente para parecer legítimo. (Por exemplo, podem usar grafias criativas do nome ou do domínio, como jsmith@company.com ou jane.smith@cornpany.com para jane.smith@company.com). Eles também podem adicionar outros elementos visuais, como uma assinatura com o logotipo da empresa do remetente ou uma declaração de privacidade detalhada (e falsa).

Um componente essencial do e-mail de ataque é o pretexto—uma história falsa, mas plausível, escrita para ganhar a confiança do alvo e convencê-lo ou pressioná-lo a fazer o que o atacante quer que ele faça. Os pretextos mais eficazes combinam uma situação reconhecível com um senso de urgência e a implicação de consequências. Uma mensagem de um gerente ou CEO que diz: "Estou prestes a embarcar em um avião—você pode me ajudar processando esta fatura (anexa) para evitar taxas de atraso?" é um exemplo clássico de um pretexto de BEC.

Dependendo da solicitação, os golpistas podem também configurar sites falsos, registrar empresas falsas ou até mesmo disponibilizar um número de telefone falso que o alvo pode ligar para confirmação.

Os golpes BEC estão entre os cibercrimes mais difíceis de prevenir porque raramente usam malware que ferramentas de segurança podem detectar. Em vez disso, os golpistas confiam em engano e manipulação. Os golpistas nem precisam invadir a empresa-alvo.

Eles podem arrancar grandes quantias das vítimas invadindo ou até mesmo se passando por um fornecedor ou cliente. Como resultado, os ataques BEC levam em média 308 dias para serem identificados e contidos, de acordo com o relatório do custo das violações de dados—o segundo maior tempo de resolução de todos os tipos de violação.

Dito isso, as empresas podem tomar as seguintes medidas para se defender contra esses golpes:

• O treinamento de conscientização sobre segurança cibernética pode ajudar os funcionários a entender os perigos do compartilhamento excessivo nas plataformas de mídia social e nos aplicativos que os golpistas usam para encontrar e pesquisar seus alvos. O treinamento também pode ajudar os funcionários a identificar tentativas de BEC e adotar melhores práticas, como verificar grandes solicitações de pagamento antes de atender.

• As ferramentas de segurança de e-mail podem não detectar todos os e-mails de BEC, particularmente aqueles provenientes de contas comprometidas. No entanto, podem ajudar a identificar endereços de e-mail falsificados. Algumas ferramentas também podem sinalizar conteúdo de e-mail suspeito que pode indicar uma tentativa de BEC.

• A autenticação de dois fatores ou multifator pode dificultar a invasão de contas de e-mail por invasores de BEC.

• Ferramentas de segurança empresarial podem ajudar as equipes de segurança a interromper ataques BEC mais rapidamente, identificando tentativas de explorar vulnerabilidades da rede e sinalizando atividades em endpoints, em contas de e-mail e em outros lugares que podem apontar para hackers fazendo reconhecimento. Essas ferramentas incluem:
  • orquestração de segurança
  • automação e resposta (SOAR)
  • gerenciamento de informações e eventos de segurança (SIEM)
  • detecção e resposta de endpoints (EDR)
  • detecção e resposta estendidas (XDR)