Recentemente, você recebeu um e-mail do seu ‘CEO’ pedindo para transferir dinheiro para um ‘fornecedor’? Não faça isso! É uma fraude de CEO que explicarei em detalhes.
Vamos começar com uma pequena história de fundo.
A fraude do CEO aconteceu comigo quase dois meses depois que entrei na etechpt.com como redator em tempo integral.
Não ficou evidente imediatamente, pois o golpista estava usando um nome de domínio de renome, Virgin Media ([email protected]), e pensei que meu CEO estava de alguma forma conectado a esta empresa de telecomunicações, já que ambos estão localizados no Reino Unido.
Então, respondi à inicial ‘Gostaria de lhe atribuir uma tarefa, você está livre?’ positivamente. Em seguida, o remetente detalhou uma tarefa envolvendo a transferência de INR 24.610 (~ $ 300) para um fornecedor, cujos detalhes teriam sido compartilhados se eu concordasse.
Mas isso me deixou um pouco desconfiado e pedi ao remetente que provasse sua identidade antes que eu pudesse transferir qualquer coisa. Alguns e-mails depois, o fraudador desistiu e enviei a conversa para meu CEO real e para a célula de TI da Virgin Media.
Embora eu não tivesse treinamento prévio para lidar com esse tipo de fraude, tive sorte de não cair nessa armadilha.
Mas não devemos confiar na pura sorte; em vez disso, saiba disso antecipadamente e eduque os outros.
últimas postagens
Fraude do CEO, também conhecido como Phishing Executivo
Isso se enquadra no spear phishing, um ataque direcionado a uma organização específica ou a alguns de seus funcionários. Será conhecido como um ataque de phishing baleeiro se o alvo for um funcionário de alto perfil (como um c-suite) de qualquer instituição.
O Federal Bureau of Investigation, EUA, classifica esses golpes como Business Email Compromise (BEC) ou Email Account Compromise (EAC), que representaram quase US$ 2,4 bilhões em perdas em 2021, de acordo com este Relatório de crimes na Internet.
Geograficamente, a Nigéria é o país número um que hospeda 46% das fraudes de CEO, seguida pelos EUA (27%) e Reino Unido (15%).
Como é que isso funciona?
Notavelmente, a fraude do CEO não requer nenhuma habilidade técnica ou conhecimento criminal. Tudo o que você receberá é um e-mail aleatório e engenharia social para induzi-lo a enviar fundos ou revelar detalhes confidenciais para ações ilícitas posteriores.
Vamos verificar algumas maneiras pelas quais os malfeitores fazem isso ‘atualmente’.
Tipo 1
Um endereço de e-mail aleatório que se impõe como o CEO pedindo algum dinheiro é a forma mais simples de tais truques. E este é fácil de detectar. Tudo o que você precisa procurar é o endereço de e-mail (e não o nome).
Geralmente, o nome de domínio ([email protected]) revela fraude. No entanto, o endereço de e-mail pode indicar uma organização renomada (como foi o meu caso).
Esses prêmios agregaram legitimidade ao golpe, que pode vitimar um profissional desinformado. Além disso, o endereço de e-mail pode parecer genuíno, mas com pequenas alterações imperceptíveis, como @gmial.com no lugar de @gmail.com.
Por fim, pode ser de um endereço de e-mail legítimo, mas comprometido, tornando extremamente difícil detectar o golpe.
Tipo 2
Outra técnica mais sofisticada usa chamadas de vídeo. Isso inclui um endereço de e-mail ‘gerenciado’ de um funcionário de alto escalão enviando solicitações de reunião on-line ‘urgentes’ a seus funcionários, principalmente no departamento financeiro.
Em seguida, os participantes veem uma imagem sem áudio (ou com áudio deepfake) com a alegação de que a conexão não está funcionando conforme o esperado.
Posteriormente, o ‘executivo de negócios’ pede para iniciar uma transferência eletrônica para contas bancárias desconhecidas, de onde o dinheiro é desviado por outros canais (leia-se criptomoedas) após uma fraude bem-sucedida.
Tipo 3
Este é uma variação do Tipo 1, mas tem como alvo parceiros de negócios e não funcionários, obtendo um nome – fraude de fatura – mais adequado ao seu modus operandi.
Nesse caso, o cliente de uma organização recebe um e-mail para pagar uma fatura para contas bancárias específicas com urgência.
Fonte: CBC News
Este tem a maior taxa de sucesso, pois normalmente é feito usando um endereço de e-mail da empresa hackeado. E como o e-mail é a forma, às vezes exclusiva, de os profissionais se comunicarem, isso resulta em enormes perdas financeiras e de reputação para a organização-alvo.
Como verificar a fraude do CEO?
Como funcionário, é difícil rejeitar um pedido de seu próprio CEO. Essa psique é a principal causa de os perpetradores obterem sucesso facilmente com apenas um e-mail aleatório.
Além de questionar as solicitações financeiras, é melhor pedir uma videoconferência antes de ‘cooperar’.
Além disso, na maioria dos casos, você só precisa verificar o endereço de e-mail com cuidado. Isso pode não pertencer à sua organização ou pode ter versões incorretas do nome da empresa.
Além disso, uma instituição não pode registrar todas as extensões de domínio. Então, você precisa ter cuidado para não receber um e-mail de [email protected] quando o endereço oficial deve ser [email protected]
Por fim, você pode estar recebendo e-mails de um endereço de empresa operado de ‘externo’ ou de um membro interno desonesto. A chave para tal situação é a confirmação verbal ou manter vários executivos informados antes de fazer qualquer pagamento.
E a maneira mais eficaz de proteger sua organização, se você liderar uma, é incorporar a simulação de phishing no treinamento rotineiro dos funcionários. Porque esses fraudadores evoluem constantemente. Portanto, dar um aviso único e único não ajudará muito seus funcionários.
Empacotando!
Infelizmente, dependemos muito de e-mails comerciais, deixando grandes brechas que os criminosos costumam explorar.
Embora ainda não exista um substituto para esta forma de comunicação, podemos adicionar parceiros de negócios em aplicativos como o Slack ou até mesmo o WhatsApp. Isso ajudará a confirmar rapidamente se algo parece suspeito e evitar tais contratempos.
PS: Se eu fosse você, não perderia este artigo que aborda os tipos de crimes cibernéticos para aumentar a alfabetização na Internet.