0
0
O comprometimento de e-mail comercial (BEC) tornou-se um dos métodos mais populares de hacking com motivação financeira. E no ano passado, um grupo em particular demonstrou o quão rápido, fácil e lucrativo isso realmente é.
Em uma postagem no blog de 1º de fevereiro , Crane Hassold, diretor de inteligência de ameaças da Abnormal Security, traçou o perfil de “Firebrick Ostrich”, um agente de ameaças que está realizando o BEC em uma escala quase industrial. Desde abril de 2021, o grupo realizou mais de 350 campanhas BEC, personificando 151 organizações e utilizando 212 domínios maliciosos no processo.
Esse volume de ataques é possível graças à abordagem de tiroteio indiscriminado do grupo. Firebrick Ostrich não discrimina muito quando se trata de alvos, ou reúne inteligência excepcional para criar a isca de phishing perfeita. Ele joga dardos na parede porque, evidentemente, quando se trata de BEC em escala, isso é o suficiente.
“O BEC é atraente para os malfeitores”, Sean McNee, CTO da DomainTools, explica a Dark Reading, “devido às barreiras de entrada mais baixas do que o malware, menos risco, oportunidades de escalabilidade mais rápidas e muito mais potencial de lucro para escalões mais altos do que outros métodos de ataque”.
Esses fatores podem explicar por que tais ataques são “absolutamente a tendência emergente”, como disse Hassold ao Dark Reading, deixando até mesmo o ransomware comendo poeira . “Existem literalmente centenas, senão milhares, desses grupos por aí.”
BEC MO do Firebrick Ostrich
Firebrick Ostrich quase sempre tem como alvo organizações sediadas nos Estados Unidos. Além disso, porém, não parece haver um padrão – ele mergulha em varejo e educação, transporte e saúde e tudo mais.
O grupo é especializado em personificações de terceiros, refletindo uma mudança no BEC de forma mais geral. “Desde a sua criação, o BEC tem sido sinônimo de personificação do CEO”, observa Hassold. Mas, mais recentemente, “os agentes de ameaças identificaram terceiros como uma espécie de alvo fácil na cadeia de ataque B2C. Mais da metade dos ataques B2C que vemos agora estão se passando por terceiros em vez de funcionários internos”.
O grau de reconhecimento que o Firebrick Ostrich requer para realizar tal ataque é frustrantemente mínimo. Tudo o que é necessário é entender que duas organizações se conectam de alguma forma — na maioria das vezes, uma fornece um produto ou serviço para a outra.
Essas informações estão disponíveis publicamente em muitos sites do governo. No comércio, pode ser encontrado no site de um fornecedor, em uma galeria de logotipos de clientes na página inicial. Caso contrário, uma simples pesquisa no Google pode resolver o problema. É o suficiente para continuar, diz Hassold, mesmo que “eles não tenham comprometido uma conta ou um documento que lhes forneça informações sobre os pagamentos que estão indo e voltando”.
Depois de identificar um fornecedor, o grupo registra um domínio da Web semelhante e uma série de endereços de e-mail para funcionários e executivos imaginários do departamento financeiro do fornecedor. “O Firebrick Ostrich copia todas as contas falsas adicionais em seus e-mails para fazer parecer que estão incluindo outras pessoas na conversa”, escreveram os pesquisadores da Abnormal Security na análise, “o que adiciona credibilidade e prova social à mensagem”.
Por fim, o grupo envia o e-mail, representando um especialista em contas a pagar, para a divisão de contas a pagar da organização de destino. A nota normalmente começa com algum elogio, como a forma como o fornecedor “aprecia muito você como um cliente valioso e queremos agradecê-lo por seus negócios contínuos”.
O Firebrick Ostrich não busca informações bancárias de suas vítimas. Em vez disso, seus agentes solicitam a atualização de seus próprios dados bancários (do “vendedor”), para pagamentos futuros.
“Esses invasores estão jogando um jogo mais longo”, de acordo com o relatório, “esperando que uma simples solicitação agora resulte em um pagamento para sua conta redirecionada com o próximo pagamento”. O grupo sempre opta pelo ACH, pois requer apenas uma conta e um número de roteamento – nenhuma outra informação de identificação – para enviar um montante fixo.
Para garantir, esses e-mails também incluem uma consulta vaga sobre pagamentos pendentes.
O que é notável em tudo isso é como todo o fluxo de ataque é rápido e fácil. Caso em questão: a Abnormal Security descobriu que, em 75% dos casos, o Firebrick Ostrich registrou um domínio de fornecedor mal-intencionado em apenas dois dias após o envio de um e-mail de phishing de abertura e 60% do tempo em 24 horas.
BEC é o grande crime cibernético
Em 2018, o FBI divulgou um anúncio de serviço público sobre um “golpe de 12 bilhões de dólares”. De outubro de 2013 a maio de 2018, estimou a agência, organizações em todo o mundo perderam cerca de US$ 12,5 bilhões para o BEC.
Isso parecia muito na época. Um ano depois, porém, os federais lançaram um novo PSA . Agora, o BEC era uma arena de $ 26 bilhões. E em 2022, um terceiro PSAapareceu, declarando que o BEC era um golpe de US$ 43 bilhões.
Esses números podem até estar subestimados, considerando os casos que não são notificados.
O Firebrick Ostrich é um excelente exemplo de por que o BEC é tão popular, de acordo com a Abnormal Security: “Eles obtiveram um enorme sucesso, mesmo sem a necessidade de comprometer contas ou fazer pesquisas aprofundadas sobre o relacionamento fornecedor-cliente”. As campanhas são eficazes, porém rápidas, de baixo esforço e com baixa barreira de entrada.
O BEC também pode ser, como McNee o chama, uma “‘droga de entrada’ para outras atividades ilícitas e ilegais”, como o ransomware.
“Existe uma economia subterrânea acessível de fornecedores que tornam a aquisição de contas bastante trivial, portanto, se um malfeitor focado em BEC estiver interessado em se dedicar a outras atividades ou vender o acesso que obtém a outros, eles podem fazê-lo facilmente”. Esse relacionamento ocorre nos dois sentidos, com extorsões duplas de ransomware alimentando ataques BEC subsequentes.
Para evitar um comprometimento dispendioso, Hassold recomenda que as organizações “tenham um processo realmente estruturado e rígido para qualquer transação financeira. Certifique-se de que a alteração da conta seja confirmada com a parte real offline, em um segmento de comunicação separado, antes que a alteração seja realmente implementada. “
Acima de tudo, os funcionários devem estar cientes das táticas de phishing. “Uma das principais razões pelas quais os ataques BEC são difíceis de defender”, acrescenta McNee, “é que eles atacam pessoas e não a tecnologia em si. Todos são suscetíveis à engenharia social porque somos todos humanos”.
FONTE: DARK READING