0
0
Os ataques BEC são geralmente de baixo volume, mas, de acordo com uma pesquisa recente da GreatHorn, 71% das organizações experimentaram pelo menos uma no ano passado.
A pesquisa mais recente da Trend Micro revelou que os golpistas têm intensificado seus esforços e que alguns mudaram para se passar por funcionários comuns e segmentar em vez de executivos ou pessoal de gerenciamento de classificação.
“A partir de nossas observações, os ataques BEC não visam apenas usuários de alto perfil, mas também qualquer funcionário que possa ser encontrado em redes de mídia social com informações pessoais significativas publicadas (como o LinkedIn). Essas informações podem ser usadas para falsificar funcionários e parceiros e causar danos financeiros significativos às empresas”, compartilharam pesquisadores e analistas de ameaças Marshall Chen, Loseway Lu, Paul Pajares e Fyodor Yarochkin.
Ataques BEC são muitas vezes difíceis de detectar
Golpes de compromisso de e-mail comercial (BEC) estão entre os três esquemas cibercriminosos mais lucrativos nos últimos anos.
As soluções de segurança de e-mail têm problemas para detectar e-mails fraudulentos do BEC porque são direcionados a destinatários específicos, geralmente não incluem anexos ou links maliciosos e geralmente começam com solicitações inócuas. Além disso, os golpistas usam vários outros truques, como inserir espaços entre as palavras (“I NVOICE” em vez de “INVOICE”).
Alvos pretendidos, por outro lado, muitas vezes não conseguem detectar que esses e-mails falsificaram remetentes / usam endereços de e-mail falsificados, ou não encontram os vários endereços de e-mail / domínios que os golpistas usam suspeitos.
Truques empregados pelos golpistas
Um dos truques empregados pelos golpistas da BEC é registrar nomes de domínio com palavras-chave relacionadas ao setor de telecomunicações e nomes de provedores de serviços: sprint-mobile.net, 5g-tmobile.com, verizone4g-device.com e assim por diante.
Outro é registrar domínios com nomes longos, palavras-chave comuns e novas palavras genéricas de domínio de nível superior (TLD): servermail-reply-office-works-secure-protecty-inbound-netsuite.one, systerm-proctection-outlook.management,reply-netsuite-mails.management, etc.
Às vezes, os golpistas usam outras palavras-chave indutoras de confiança em endereços de e-mail, como mail_ceoofficial, chiefexecutiveoffice, officepresident e offshoreoffice.
Para funcionários menos experientes em tecnologia, ver algumas dessas palavras-chave é suficiente para considerar o e-mail legítimo e confiável. Alguns podem até ser enganados pelo uso de serviços de e-mail gratuitos pelos golpistas, como Gmail, Hotmail e Outlook, já que estamos todos acostumados a receber e-mails legítimos desses serviços de e-mail populares.
Além dos serviços de e-mail gratuitos, os golpistas da BEC também aproveitam:
- Serviços de e-mail locais (por exemplo, virginmedia.com no Reino Unido ou naver.com na Coreia do Sul);
- Serviços de e-mail criptografados (por exemplo, Tutanota, Protonmail, Cryptex);
- Domínios auto-registrados e serviço de e-mail direto para destaque, para que eles possam criar domínios semelhantes (por exemplo, trendmjcro.com), com aparência local (por exemplo,example-tw.com) e aproveitar os resultados positivos de autenticação de e-mail (SPF, DKIM); e
- Credenciais de e-mail roubadas, spam e resposta a conversas de e-mail anteriores (especialmente tópicos temáticos de finanças ou compras).
Como as soluções de segurança não podem detectar e bloquear todos os ataques BEC, cabe às empresas manter sua força de trabalho atualizada regularmente sobre as mais recentes técnicas de golpistas e treinada em detectá-los e denunciá-los às equipes de segurança de TI ou TI.
FONTE: HELPNET SECURITY