A Comissão de Comércio de Futuros de Commodities dos EUA atingiu a Philips Capital Inc., uma corretora de Chicago, com uma multa civil de US $ 500.000 por erros de segurança antes e depois de uma violação de dados de 2018, que resultou no roubo de US $ 1 milhão das contas dos clientes.
No pedido da comissão, anunciado sexta-feira, a Philips Capital também reconhece que pagou a restituição de US $ 1 milhão a clientes cujo dinheiro foi roubado.
A comissão, uma agência federal independente que regula os mercados de futuros e opções, descobriu que a Philip Capital não seguia os requisitos regulatórios dos EUA para informar os clientes sobre a violação em tempo hábil. Ele também descobriu que a corretora permitia que os cibercriminosos violassem seus sistemas, acessassem as informações dos clientes e roubassem dinheiro dos clientes. E culpou a empresa por não garantir que seus funcionários seguissem diretrizes escritas de segurança cibernética.
Um representante da Philip Capital, que faz parte do Phillip Capital Group, com sede em Cingapura, não respondeu a um pedido de comentário.
Esquema de phishing
A violação que levou à penalidade financeira começou em fevereiro de 2018, quando um engenheiro de TI da Phillip Capital recebeu um e-mail de phishing de uma conta previamente hackeada em 28 de fevereiro de 2018, segundo a comissão.
“O engenheiro de TI clicou em um anexo em PDF no e-mail e inseriu as informações de login da conta de e-mail do administrador, fornecendo involuntariamente essas credenciais aos criminosos cibernéticos”, constatou a comissão.
Os atacantes usaram essas credenciais administrativas para acessar contas de email do CEO da empresa e de outros. Essas contas de email comprometidas continham informações detalhadas do cliente, de acordo com o pedido da comissão.
Em 2 de março, dois dias após a violação inicial, o engenheiro reconheceu que várias contas de email da empresa haviam sido comprometidas, de acordo com o pedido. O engenheiro redefine as senhas nas contas afetadas, informa o gerenciamento da violação e, por instrução, envia um email informando a todos os funcionários da violação de email e instruindo-os a alterar suas senhas, conforme a ordem.
Transferência fraudulenta
No dia em que a Philip Capital descobriu a violação, a empresa também recebeu um pedido de transação fraudulenta. O atacante enviou um e-mail à empresa que fingia ser cliente e solicitou que US $ 1 milhão fosse transferido de diferentes contas de clientes para um destinatário em Hong Kong, de acordo com os documentos.
“O especialista em atendimento ao cliente respondeu diretamente ao email fraudulento para perguntar se o destinatário em Hong Kong era um cliente do [Philip Capital]; os cibercriminosos responderam por email, afirmando que o destinatário era um cliente e pedindo ao especialista em atendimento ao cliente que concluir a transação “, de acordo com a comissão.
O especialista em atendimento ao cliente, juntamente com o departamento financeiro, aprovou a transferência e o dinheiro foi retirado das contas naquela tarde. Somente quando um cliente ligou para perguntar sobre o motivo da transferência de dinheiro a empresa percebeu que a transação era fraudulenta, determinou a comissão.
Em quase todas as etapas do processo, parece que a Philip Capital não adotou, ou deixou de seguir, boas práticas de segurança que levariam sinais de alerta, diz Joseph Carson, cientista chefe de segurança da empresa de segurança Thycotic.
Clientes no escuro
A Philip Capital não seguiu seus procedimentos padrão de segurança por escrito quando se tratava de informar os clientes sobre o incidente, determinou a comissão. Em vez disso, a empresa enviou um e-mail a todos os funcionários afirmando “tudo isso é confidencial e nenhuma menção deve ser feita fora da empresa – isso é muito importante e pode afetar a empresa”, de acordo com o pedido da comissão.
Apesar de saber sobre a violação, o CEO da Philip Capital decidiu inicialmente não informar todos os seus clientes sobre o ataque ou a transferência eletrônica fraudulenta, determinou a comissão. Em vez disso, a empresa enviou um aviso geral aos clientes sobre esquemas de phishing.
Além disso, a investigação constatou que o diretor de conformidade da empresa foi instruído a solicitar a qualquer cliente que soubesse da violação que não discutisse com outras pessoas porque “isso só prejudicaria nossa empresa para que outras pessoas soubessem”, concluiu a comissão.
Duas semanas após o incidente, a Philip Capital notificou apenas dois clientes cujas contas foram atacadas pelos atacantes por roubo, segundo a comissão. A empresa, no entanto, não notificou os clientes cujas informações poderiam ter sido comprometidas até fevereiro deste ano, de acordo com o pedido da comissão.
Desde o investimento da comissão, a Philip Capital começou a aplicar salvaguardas mais fortes para proteger os dados dos clientes e agora oferece serviços de monitoramento de roubo de identidade, segundo a comissão.
“Este é um lembrete para todas as empresas que precisam cumprir as regulamentações governamentais de que, se violadas, não só os cibercriminosos estarão atrás do seu dinheiro, mas também é provável que os reguladores também o multem por não proteger os ativos valiosos de seus clientes, “Carson diz.
FONTE: https://www.bankinfosecurity.com/brokerage-firm-hit-500000-data-breach-penalty-a-13095