Hackers atraíram um funcionário experiente para uma armadilha ardilosa
“Senti o cabelo arrepiar na nuca”, disse um antigo funcionário do armazém à Cybernews. Caindo em um e-mail falso, ele colocou toda a empresa em risco e decidiu compartilhar sua história para evitar que outros caíssem na mesma armadilha.
No ano passado, as vítimas perderam US$ 2,4 bilhões em ataques de comprometimento de e-mail comercial (BEC) somente nos EUA. Golpes sofisticados enganam até mesmo os funcionários mais experientes que sabem como identificar phishing.
Não é apenas embaraçoso que funcionários enganados tenham que sobreviver – um simples e-mail de aparência benigna pode colocar toda a empresa em risco.
Aconteceu recentemente com uma empresa de armazém nos EUA. Um funcionário com 28 anos de experiência foi levado a acreditar que seu cliente havia iniciado uma transferência eletrônica. Só depois que o banco desconfiou da transação ele entendeu que se tratava de uma armadilha. O funcionário, que quis permanecer anônimo, concordou em compartilhar sua história com a Cybernews.
Primeira pista
“Às vezes, pego meu mandato e braço forte, se necessário, para dizer: ‘ei, vamos agilizar isso, fazer isso para que eu possa fechar este projeto’, disse o funcionário, vice-presidente de desenvolvimento de negócios da empresa.
Ele encaminhou o e-mail pedindo ao Diretor Financeiro (CFO) da empresa para fechar o negócio com um fornecedor concluindo a transação. O CFO fez o que foi dito e nada parecia fora do comum até que o banco ligou sobre a transação.
Acontece que o destinatário dos fundos estava tentando convertê-los em criptomoeda, então o banco sinalizou a transação e decidiu fazer uma consulta. Aparentemente, era um ator de ameaça simplesmente tentando movimentar os fundos. Mas como a empresa chegou aqui? Vamos retroceder um pouco.
E-mail convincente
"Estávamos no processo de compra de uma instalação no sul de Indiana. Contratei um grupo para remover materiais deste prédio", disse o funcionário.
O trabalho estava quase pronto, então a empresa concordou com o representante do fornecedor para entregar em mãos o cheque para pagamento do serviço.
O funcionário se comunicava constantemente com o representante mencionado por e-mail e telefonemas.
"Este cavalheiro saiu de férias e o diálogo mudou muito rapidamente para "ei, você se importaria de transferir esses fundos para mim?", disse o funcionário.
Isso não parecia fora de linha porque ele sabia que a pessoa estava viajando, e o pedido para transferir o dinheiro veio de um longo fio mostrando seu histórico de comunicação. O tom do e-mail era impaciente, mas a pessoa em questão também, então nada levantou suspeita de cada vez.
"O invasor que comprometeu a conta do vendedor, imitou o tom, a voz e até a impaciência de uma pessoa, nada parecia fora do comum, porque esse cara era regularmente assim", disse.
Alguns dias depois, o CFO notificou o funcionário de que o banco havia interrompido a transferência, pois parecia ser uma atividade fraudulenta.
"Eu entrei em pânico. O que diabos eu fiz de errado?" ele disse. "Eu liguei para o cara e disse: "Ei, o que está acontecendo?" E ele disse: "você vai entregar esse cheque em mãos?" Eu disse, oh não, do que você está falando? nota de e-mail que você queria que isso fosse feito por transferência bancária."
A conversa continuou por um tempo, e o funcionário disse que se sentiu puxado de um lado para o outro.
"Senti o cabelo arrepiar na nuca.[...]Coloquei muitas pessoas em risco em nossa organização porque agilizei um processo. Tive que explicar à liderança sênior da nossa organização o que havia acontecido, o que foi bastante embaraçoso", disse ele.
A empresa não divulgou o valor do dinheiro. Ainda assim, disse o funcionário, foi uma quantia significativa de dinheiro, especialmente para uma organização que trabalha duro para ser lucrativa e compartilhá-la com os funcionários.
"Ainda sinto o estresse", disse o funcionário sobre o ataque que aconteceu há alguns meses. Ele se sentiu financeiramente responsável e só agora, sabendo que a empresa recuperou todos os fundos, ele pode encontrar algum alívio.
O funcionário passou por treinamento de phishing, mas não impediu o ataque. Por quê?
O que aconteceu?
A conta do funcionário nunca foi comprometida. O e-mail que levou à armadilha veio de uma caixa de correio legítima e chegou em um thread. Descobriu-se que o e-mail do fornecedor estava comprometido e os invasores podiam enviar cartas em nome do fornecedor sem que ele percebesse.
"Os invasores escrevem regras automatizadas, portanto, se alguém responder, esse e-mail será automaticamente removido e marcado como não lido, tudo isso para garantir que você não perceba que alguém está em sua caixa de entrada", Joshua Crumbaugh, CEO e fundador da Phishfirewall, disse a Cybernews.
Podemos apenas adivinhar como a caixa de entrada do fornecedor foi comprometida neste caso, mas os golpistas têm como alvo o C-Suite há muito tempo. Às vezes, os criminosos se passam por serviços legítimos, como o DocuSign, enganam os executivos para que assinem um documento e os redirecionam para um site de phishing, simulando, por exemplo, um redirecionamento para a página de login de logon único do M365.
Dessa forma, os fraudadores colocam as mãos nas credenciais sem levantar suspeitas e as usam para bisbilhotar e interceptar comunicações. Os criminosos também exploram dados de violação pública para comprometer contas.
"Eles usarão essa conta para iniciar o phishing de outros funcionários da organização", Crumbaugh. A maior parte disso é automatizada – os criminosos usam ferramentas para percorrer os tópicos de e-mail, reunir o contexto necessário e ocultar as mensagens falsas imediatamente após enviá-las às vítimas.
"A escala de sofisticação já está fora dos gráficos. Em um caso, os cibercriminosos usaram os dados de violação que tinham registros de divórcio. Eles pegaram esses registros de divórcio e disseram: você é o contato de recuperação de conta dessa pessoa, ex-marido ou ex-esposa , e clique aqui para recuperar a conta. Foi brilhante porque quantas pessoas não cairiam nessa e clicariam porque querem ver o que está por trás ou o que seu ex está fazendo", disse Crumbaugh.
Você não pode corrigir estúpido, ou pode?
A maioria de nós treina como identificar e-mails falsos, passar o mouse sobre os links, relatar qualquer atividade suspeita à sua equipe de segurança e muito mais. No entanto, você não pode suspeitar toda vez que receber um e-mail de uma pessoa com quem você esteve em contato muito.
Os funcionários da empresa fizeram o suficiente para garantir que estavam transferindo o dinheiro para a entidade adequada?
"Nós olhamos para isso e dissemos que, se as finanças tivessem feito XYZ, isso nunca teria chegado tão longe. E agora há um sistema de freios e contrapesos, e a responsabilidade recai sobre as finanças. processos em vigor para garantir que isso não aconteça", disse Crumbaugh.
Nesse caso, o ataque foi capturado e as perdas foram minimizadas. No entanto, Crumbaugh acredita que a comunidade de segurança está fazendo o suficiente para treinar os usuários. Todo mundo fala sobre o elemento humano e o elo mais fraco da segurança cibernética, dizendo: "você não pode corrigir estúpido".
"Esta é uma das minhas preocupações, porque é aceitar o fracasso antes mesmo de tentar. E, mais importante, é culpar o usuário por sua falta de educação. [...] Temos zero padrões definidos quando você fala sobre humanos e conscientização de segurança. Nós não nos reunimos como uma comunidade e dissemos que é isso que precisa acontecer. Em vez disso, você tem o cego guiando o cego. O problema pode ser que você não pode corrigir a estupidez, mas essa estupidez está na informação equipe de segurança, não dentro de toda a organização", disse ele.
O treinamento, segundo ele, precisa ser contínuo. É melhor ter sessões de entretenimento curtas, por exemplo, de um minuto por semana, em vez de toda a palestra sobre segurança cibernética, cobrindo 15 tópicos diferentes uma vez por ano.
"Torná-lo mais divertido é nossa obrigação porque ajuda a envolver os usuários mais. Os usuários vêem a segurança cibernética como algo complexo demais para o usuário comum entender. Quando complicamos demais o treinamento [...] provamos a esse usuário comum que eles são certo", disse Crumbaugh.
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware