Business email compromise (BEC, man-in-the-email attack)

Business email compromise (BEC) é um exploit de segurança em que o atacante tem como alvo um funcionário que tem acesso aos fundos da empresa e convence a vítima a transferir dinheiro para uma conta bancária controlada pelo atacante.

De acordo com o Relatório de Crimes na Internet do FBI, as explorações do BEC foram responsáveis por mais de 1,77 mil milhões de dólares em perdas em 2019. O compromisso do e-mail comercial é uma das principais reivindicações de seguros cibernéticos  em 2020, e o fornecedor de segurança Proofpoint advertiu as empresas de que as explorações da BEC estão cada vez mais sendo vinculadas à COVID-19. As vítimas mais comuns da BEC são empresas que utilizam transferências bancárias para enviar dinheiro a clientes internacionais.

 

Explorações BEC geralmente começam com o atacante usando um esquema de engenharia social para enganar um alvo de nível C no download de malware, clicando em um link infectado ou visitando um site comprometido. Uma vez que a conta do gerente de nível C tenha sido comprometida, ela pode ser usada para enganar outro funcionário para enviar dinheiro para o atacante.

 

">Uma estratégia popular do BEC é enviar um email com aspecto oficial para alguém do departamento financeiro da empresa. Normalmente, tal e-mail dirá que há um assunto sensível ao tempo e confidencial que requer que o pagamento seja feito para a conta bancária de um cliente, parceiro ou parceiro da cadeia de suprimentos o mais rápido possível. O atacante espera que a pessoa insuspeita em finanças pense que está ajudando sua empresa ao facilitar uma rápida transferência de fundos -- quando na realidade, está enviando dinheiro para a conta bancária do atacante.

Existem inúmeras maneiras de o BEC ser usado para defraudar alvos. Aqui estão alguns exemplos:

  • Uma conta de funcionário comprometida solicita uma mudança nas informações do recebedor e transfere pagamentos para a conta do agressor.
  • O agressor envia uma fatura falsa para os vendedores parceiros na esperança de que eles paguem a conta sem questioná-la.
  • Uma identidade de e-mail do advogado pode ser utilizada para pressionar o alvo para pagamento imediato.

Os criminosos informáticos podem ainda utilizar uma conta comprometida (especialmente as dos funcionários de RH) para obter mais informações pessoalmente identificáveis (PII) para utilização posterior na defraudação da empresa ou dos seus clientes. As medidas para prevenir este tipo de fraude financeira incluem a educação dos funcionários, a realização de testes de canetas de engenharia social e a exigência de que pelo menos dois funcionários assinem aprovações para pedidos de alteração de pagamento.