Em golpe via e-mail corporativo, criminosos se passam por diretores financeiros

Em nova modalidade de golpe financeiro, denunciada em agosto de 2021 pela empresa de cibersegurança Avanan, o atacante se passava por diretor financeiro (CFO, na sigla em inglês) de uma grande empresa do ramo dos esportes. Na fraude, o criminoso oferecia altas margens de lucro, mas, para isso, pedia uma transferência bancária.

• 5 falhas abrem brechas para ciberataques em empresas
• Criminosos usam sistema de verificação para atingir apenas vítimas em potencial

Os criminosos tentaram enganar um funcionário de nível hierárquico menor do setor financeiro desta mesma empresa, solicitando o envio de uma ACH (Automated Clearing House, ou câmara de compensação automatizada, em tradução livre, sistema de transferência bancária em que o Pix foi baseado) para uma suposta companhia de seguros.

Técnica usada por criminosos é conhecida como 'BEC'

Esta técnica não é nova, e, inclusive, já foi batizada de Business E-mail Compromise (BEC, ou e-mail de compromisso de negócios, em tradução livre), em que cibercriminosos se passam por executivos de alto escalão de empresas para conseguir ganhos financeiros.

Segundo os pesquisadores da Avanan, esses ataques cibernéticos estão ficando cada vez mais comuns e são difíceis de rastrear e parar, já que não usam malware ou links maliciosos. O conteúdo das mensagens, inclusive, não é muito diferente do que é o que é enviado pelos reais executivos das companhias, o que aumenta a credibilidade do ataque.

Prejuízos milionários

As fraudes são tão convincentes que o FBI estima que esses golpes tenham provocado perdas na casa dos US$ 43 milhões (cerca de R$ 215 milhões, na cotação atual) entre 2016 e 2021.

Nestes ataques, os criminosos se passam por um CFO e entram em contato com um funcionário de baixo nível hierárquico. Neste contato, eles criam um e-mail falso, que simula um e-mail encaminhado pelo CFO, com uma série de instruções. Caso a transferência seja realizada, o dinheiro cai na hora na conta de um laranja do golpista e não é possível estornar.

“Esses ataques de tipo BEC são incrivelmente populares, difíceis de serem interrompidos e identificados”, diz o pesquisador e analista de cibersegurança da Avanan, Jeremy Fuchs. “Os usuários finais devem sempre ter cautela antes de efetuarem pagamentos, confirmando diretamente com o CFO sempre antes de pagar”, acrescenta.

Dicas para se proteger de criminosos que se passam por diretores financeiros

Fuchs dá algumas dicas que podem potencializar a segurança das áreas financeiras das empresas e garantir que o dinheiro não caia na mão de um golpista. “A primeira é implementar segurança avançada de e-mail que verifique mais de um fator para determinar se um e-mail é malicioso ou não”, diz o pesquisador.

“A segunda, que se certifiquem de ler atentamente o e-mail por inteiro antes de agir, procurando por quaisquer discrepâncias”. Outros pontos importantes são verificar os endereços de resposta, ler todo o e-mail para procurar por inconsistências e erros de gramática, e usar gerenciadores de senhas para criar e armazenar as credenciais.