Sua maior ameaça de crime cibernético não tem quase nada a ver com tecnologia
um-homem-olhar-para-um-laptop-no-escritório-à-noite

Um homem olhando para um laptop no escritório à noite.

Imagem: Getty/Shannon Fagan

Se você foi perguntado sobre as maiores ameaças de segurança cibernética enfrentadas pelas empresas, o que primeiro vem à mente?

Talvez sejam ataques implacáveis ​​de ransomware, com criminosos cibernéticos criptografando redes e exigindo grandes somas por uma chave de descriptografia – mesmo de hospitais. Ou talvez seja um ataque de malware sorrateiro que permite que hackers se escondam na rede por meses a fio, roubando tudo, desde nomes de usuário e senhas até dados bancários.

Ambos estariam na lista, com certeza, pois são ataques terríveis de se experimentar e podem causar danos terríveis. Mas há outra forma muito mais simples de crime cibernético que rende muito mais dinheiro aos golpistas – e não recebe muita atenção.

Mas a escala dos ataques de comprometimento de e-mail comercial (BEC) é clara: de acordo com o FBI, a perda total combinada para ataques BEC é de US$ 43 bilhões e continua aumentando, com ataques relatados em pelo menos 177 países.

O que torna o BEC uma oportunidade tão rica para golpistas é que raramente há necessidade de ser um hacker altamente qualificado. Tudo o que alguém realmente precisa é de um laptop, uma conexão com a internet, um pouco de paciência – e alguma intenção nefasta.

No nível mais básico, tudo o que os golpistas precisam fazer é descobrir quem é o chefe de uma empresa e configurar um endereço de e-mail falso e falsificado. A partir daqui, eles enviam uma solicitação a um funcionário dizendo que precisam que uma transação financeira seja realizada de forma rápida – e silenciosa.

VEJO: A próxima grande ameaça à segurança está nos encarando. Enfrentá-lo vai ser difícil

É um ataque de engenharia social muito básico, mas geralmente funciona. Um funcionário interessado em fazer o que seu chefe exige pode ser rápido em aprovar a transferência, que pode custar dezenas de milhares de dólares ou mais – principalmente se achar que será castigado por atrasar uma transação importante.

Em casos mais avançados, os invasores invadirão o e-mail de um colega, seu chefe ou cliente e usarão seu endereço de e-mail real para solicitar uma transferência. É claro que não apenas os funcionários estão mais inclinados a acreditar em algo que realmente vem da conta de alguém que eles conhecem, os golpistas podem observar as caixas de entrada, esperar que uma transação financeira real seja solicitada e enviar um e-mail da conta hackeada que contém suas próprias detalhes bancários.

No momento em que a vítima percebe que algo está errado, os golpistas fugiram com o dinheiro e já se foram.

O que é mais desafiador sobre os ataques BEC é que, embora seja um crime cibernético baseado no abuso de tecnologia, na verdade há muito pouco que a tecnologia ou o software possam fazer para ajudar a interromper os ataques porque é fundamentalmente um problema humano.

Um antivírus e um bom filtro de spam de e-mail podem impedir que e-mails contendo links maliciosos ou malware cheguem à sua caixa de entrada. Mas se uma conta hackeada legítima está sendo usada para enviar solicitações às vítimas usando apenas mensagens em e-mails, isso é um problema – porque no que diz respeito ao software, não há nada nefasto para detectar, é apenas mais um e-mail do seu chefe ou colega .

E o dinheiro não é roubado clicando em um link ou usando malware para drenar uma conta – ele é transferido pela vítima, para uma conta que eles disseram ser legítima. Não é à toa que é tão difícil para as pessoas perceberem que estão cometendo um erro.

Ver: Bandidos descarados agora estão se passando por empresas de segurança cibernética para induzi-lo a instalar malware

Mas culpar a vítima não é a resposta e não vai ajudar – se é que vai piorar o problema.

O que é importante na batalha contra os ataques BEC é garantir que as pessoas entendam o que são esses ataques e tenham processos implementados que possam impedir a transferência de dinheiro.

Deve ser explicado que é muito improvável que seu chefe envie um e-mail para você do nada pedindo que uma transferência muito urgente seja feita sem perguntas. E se você tiver dúvidas, pergunte a um colega – ou até mesmo converse com seu chefe para perguntar se o pedido é legítimo ou não. Pode parecer contra-intuitivo, mas é melhor prevenir do que remediar.

As empresas também devem ter procedimentos em vigor em relação às transações financeiras, especialmente as grandes. Um único funcionário pode autorizar uma transação comercial avaliada em dezenas de milhares de dólares? Provavelmente não.

As empresas devem garantir que várias pessoas aprovem o processo – sim, isso pode significar que a transferência de finanças demora um pouco mais, mas ajuda a garantir que o dinheiro não seja enviado para golpistas e criminosos cibernéticos. Esse negócio pode esperar mais alguns minutos.

A tecnologia pode ajudar até certo ponto, mas a realidade é que esses ataques exploram a natureza humana.

ABERTURA DE SEGUNDA-FEIRA DO ZDNET

O Monday Opener da ZDNet é a nossa visão de abertura da semana em tecnologia, escrita por membros de nossa equipe editorial.

ANTERIORMENTE NA ABERTURA DE SEGUNDA-FEIRA DO ZDNET:

Leave a Reply

Your email address will not be published.