Correios

Sabe qual é o pior tipo de esquema de phishing? Do tipo que não se pode simplesmente ignorar: como a fraude de CEO. E-mails supostamente enviados pelo governo, dizendo-lhe para fazer esse pagamento pendente relacionado com impostos ou arriscar uma acção legal. E-mails que parecem ser enviados pela sua escola ou universidade, pedindo-lhe que pague aquela propina que não pagou. Ou mesmo uma mensagem do seu chefe ou CEO, dizendo-lhe para os transferir algum dinheiro "como um favor".

O problema com e-mails como este é que eles estão a fazer-se passar por uma figura de autoridade, quer seja o governo, o seu conselho universitário, ou o seu chefe no trabalho. Estas são pessoas importantes, e ignorar as suas mensagens terá quase de certeza consequências graves. Por isso, é obrigado a olhar para elas, e se parecer suficientemente convincente, poderá cair na realidade.

Mas vejamos a fraude do CEO. O que é exactamente? Pode acontecer-lhe a si? E se pode, o que deve fazer para o impedir?

Não está imune à fraude do CEO

Um esquema de 2,3 mil milhões de dólares por ano é o que é. Pode estar a pensar: "O que poderia fazer com que as empresas perdessem tanto dinheiro com um simples esquema de correio electrónico? Mas ficaria surpreendido com o quão convincentes podem ser os e-mails de fraude de CEO.

Em 2016, a Mattel quase perdeu 3 milhões de dólares para um ataque de phishing quando um executivo financeiro recebeu um e-mail do CEO, instruindo-a a enviar um pagamento a um dos seus vendedores na China. Mas foi só depois de verificar mais tarde com o CEO que ela se apercebeu que ele nunca tinha enviado o e-mail. Felizmente, a empresa trabalhou com a polícia na China e nos EUA para recuperar o seu dinheiro alguns dias mais tarde, mas isso quase nunca acontece com estes ataques.

As pessoas tendem a acreditar que estes esquemas não lhes acontecerão... até que isso lhes aconteça. E esse é o seu maior erro: não se prepararem para a fraude do CEO.

Os esquemas de phishing não só podem custar à sua organização milhões de dólares, como também podem ter um impacto duradouro na reputação e credibilidade da sua marca. Corre o risco de ser visto como a empresa que perdeu dinheiro com um esquema de correio electrónico e de perder a confiança dos seus clientes cujas informações pessoais sensíveis armazena.

Em vez de se misturar para fazer o controlo de danos após o facto, faz muito mais sentido proteger os seus canais de correio electrónico contra golpes de phishing de lança como este. Eis algumas das melhores formas de garantir que a sua organização não se torne uma estatística no relatório do FBI sobre BEC.

Como prevenir a fraude do CEO: 6 passos simples

  1. Eduque o seu pessoal sobre segurança
    Este é absolutamente crítico. Os membros da sua força de trabalho - e especialmente os financeiros - precisam de compreender como funciona o Business Email Compromise. E não nos referimos apenas a uma apresentação aborrecida de 2 horas sobre não escrever a sua palavra-passe numa nota post-it. Precisa de os treinar sobre como procurar sinais suspeitos de que um e-mail é falso, procurar endereços de e-mail falsos, e pedidos anormais que outros membros do pessoal parecem estar a fazer através do e-mail.
  2. Cuidado com os sinais indicadores de falsificação
    Os golpistas de correio electrónico utilizam todo o tipo de tácticas para o levar a cumprir os seus pedidos. Estas podem variar desde pedidos/instruções urgentes a transferências de dinheiro como forma de o levar a agir rapidamente e sem pensar, ou mesmo pedir acesso a informação confidencial para um "projecto secreto" que os superiores ainda não estão prontos para partilhar consigo. Estas são bandeiras vermelhas sérias, e é necessário verificar duas ou três vezes antes de tomar qualquer acção.
  3. Fique protegido com DMARC
    A maneira mais fácil de evitar um esquema de phishing é nunca receber sequer o e-mail em primeiro lugar. DMARC é um protocolo de autenticação de correio electrónico que verifica as mensagens electrónicas provenientes do seu domínio antes de as entregar. Quando aplicar o DMARC no seu domínio, qualquer atacante que se faça passar por alguém da sua própria organização será detectado como remetente não autorizado, e o seu correio electrónico será bloqueado da sua caixa de entrada. Não tem de lidar com e-mails falsificados.
  4. Obter aprovação explícita para transferências electrónicas
    Esta é uma das formas mais fáceis e directas de impedir transferências de dinheiro para as pessoas erradas. Antes de se comprometer em qualquer transacção, tornar obrigatório o pedido de aprovação explícita por parte da pessoa que solicita o dinheiro, utilizando outro canal para além do correio electrónico. Para transferências bancárias maiores, tornar obrigatória a recepção de confirmação verbal.
  5. Marcar e-mails com extensões semelhantes
    O FBI recomenda que a sua organização crie regras de sistema que assinalem automaticamente os e-mails que utilizam extensões demasiado semelhantes às suas. Por exemplo, se a sua empresa utiliza o '123-business.com', o sistema pode detectar e sinalizar e-mails utilizando extensões como '123_business.com'.
  6. Comprar nomes de domínio semelhantes
    Os atacantes utilizam frequentemente nomes de domínio com aspecto semelhante para enviar e-mails de phishing. Por exemplo, se a sua organização tiver um 'i' minúsculo no seu nome, podem usar um 'I' maiúsculo, ou substituir a letra 'E' pelo número '3'. Isto ajudá-lo-á a diminuir as suas hipóteses de alguém utilizar um nome de domínio extremamente semelhante para lhe enviar e-mails.