Cibercriminosos se passam por CFOs para dar golpes

Golpes de engenharia social, onde cibercriminosos se passam por executivos do alto escalão, têm se tornado cada vez mais comuns. Por serem tão convincentes, o FBI registrou US$ 43 bilhões em perdas com estes golpes entre 2016 a 2021, representando mais de 240 mil incidentes.

Pesquisadores da Avanan, empresa de segurança de colaboração e e-mail, capturaram e bloquearam um ataque cibernético que falsificou uma mensagem onde o atacante se passava por um CFO de uma grande organização esportiva. O golpe solicitava envio de dinheiro.

Segundo a Avanan, os atacantes tentaram enganar um funcionário da área financeira de nível hierárquico inferior para enviar fundos para uma suposta companhia de seguros. A técnica de ciberataque usada é conhecida como ataque Business E-mail Compromise (BEC), por meio da qual os cibercriminosos se passam por executivos de nível C para obter ganhos financeiros.

“Descobrimos esse ataque que falsificava o e-mail do CFO de uma grande organização esportiva. O falso CFO pede a um funcionário da área financeira para enviar uma transferência eletrônica para o que parece ser uma companhia de seguros, mas iria direto para o atacante. Nesse caso, conseguimos bloquear o ataque com sucesso”, explica Jeremy Fuchs, pesquisador e analista de cibersegurança na Avanan.

Esses ataques cibernéticos, vistos com frequência, são particularmente difíceis de parar porque muitas vezes não há malware ou links maliciosos. O corpo do texto das mensagens não é tão diferente do que é normalmente enviado.

Ainda de acordo com a Avanan, a Cisco foi recentemente vítima de um ataque semelhante. Segundo a empresa, um atacante conseguiu roubar a senha de um funcionário, em seguida fingiu ser de uma organização de confiança durante chamadas telefônicas e e-mails.

Leia também: 6 etapas para atingir uma arquitetura Zero Trust

“Isto é uma escalada do tradicional ataque BEC, mas faz tudo parte da mesma família. A ideia é utilizar nomes e parceiros de confiança para conseguir que funcionários entreguem credenciais ou transfiram dinheiro. Sem utilizar malware, anexos ou links maliciosos, estes hacks representam o ápice da engenharia social”, destaca a Avanan.

“Os usuários finais devem sempre ter cautela antes de efetuarem pagamentos, confirmando diretamente com o CFO sempre e antes de pagar. Duas importantes recomendações são, primeiro, que as pessoas implementem segurança avançada de e-mail que verifique mais de um fator para determinar se um e-mail é malicioso ou não; e segundo, que se certifiquem de ler atentamente o e-mail por inteiro antes de agir, procurando por quaisquer discrepâncias”, alerta Fuchs.

O estudo ainda reforça que este tipo de ataque tem sido visto numa variedade de empresas e de setores. Qualquer CFO ou executivo de alto escalão é um alvo potencial. “O melhor, portanto, é bloquear de forma proativa estes ataques para que os usuários finais não tenham de tomar uma decisão sobre se um pedido ou e-mail é ou não legítimo”, recomenda a empresa.