Todas as empresas dependem de e-mail até certo ponto. Os ataques por e-mail contra empresas são, portanto, uma ferramenta poderosa para os cibercriminosos. Eles também são difíceis de se proteger porque exigem apenas que uma pessoa em uma empresa interaja com eles e se apaixone por eles.
E-mails de phishing são os mais óbvios. Durante um ataque de phishing, um funcionário é solicitado a clicar em um link e sua senha é roubada ao fazê-lo. Mas as empresas também precisam ficar atentas a ataques mais sofisticados.
O Vendor Email Compromise (VEC) é um novo ataque baseado no comprometimento de e-mail comercial. Então, o que é e como funciona?
O que é comprometimento de e-mail comercial?
Comprometimento de e-mail comercial (BEC) geralmente envolvem a representação de funcionários de alto nível. O invasor primeiro aprende o suficiente sobre uma empresa para saber quem trabalha lá. Isso não é difícil de fazer porque as empresas geralmente compartilham muitas dessas informações online.
O invasor cria um endereço de e-mail que inclui o nome do CEO e entra em contato com um funcionário que se passa por essa pessoa. O funcionário será então solicitado a fazer uma transferência bancária urgente. O e-mail incluirá uma razão plausível para fazê-lo e um senso de urgência.
O ataque se baseia no fato de que os funcionários muitas vezes fazem a transferência por medo de serem demitidos ou enfrentar repercussões.
O que é o comprometimento de e-mail do fornecedor?
Os ataques VEC são um tipo de ataque BEC. Ao contrário dos ataques BEC tradicionais, eles visam especificamente os fornecedores. Os fornecedores normalmente trabalham com um grande número de empresas diferentes. A ideia é que, se um invasor conseguir se passar por um fornecedor, ele poderá roubar de todas essas empresas.
Os ataques VEC exigem mais trabalho e demoram mais para serem implementados. Mas, dependendo do tamanho do fornecedor, os lucros também podem ser significativamente maiores.
Embora um funcionário possa questionar por que seu chefe de repente quer que ele faça uma grande transferência bancária, geralmente é perfeitamente normal que um fornecedor faça essa solicitação na forma de uma fatura. Um ataque VEC também costuma atingir vários negócios, enquanto um ataque BEC atinge apenas um.
Como o VEC funciona?
Há muitas variações de comprometimento de e-mail do fornecedor e a quantidade de esforço aplicada depende do tamanho do fornecedor e do potencial retorno. A maioria dos ataques VEC, no entanto, inclui as seguintes fases.
Phishing contra o vendedor
Um ataque VEC bem-sucedido começa tentando acessar contas de e-mail associadas a um fornecedor. Isso normalmente é alcançado enviando e-mails de phishing para funcionários da empresa. Se um funcionário permitir que suas credenciais sejam roubadas, o invasor poderá acessar sua conta e iniciar o ataque.
Aprendendo sobre o fornecedor
Depois que as credenciais são roubadas, o invasor pode fazer login no e-mail do funcionário e obter informações sobre a empresa e seus clientes. O invasor precisa entender com que frequência as faturas são enviadas, como elas são e para quem são enviadas.
Durante essa fase, o invasor geralmente encaminha todos os e-mails da conta legítima para a própria. Isso permite que eles acompanhem o negócio sem continuar acessando a conta. Isso é necessário porque as informações necessárias para cometer o ataque geralmente levam muitas semanas para serem adquiridas e podem permanecer fora do radar.
Depois que informações suficientes forem coletadas sobre o fornecedor, o invasor poderá tentar representá-lo. O invasor pode usar o endereço de e-mail do fornecedor ao qual já tem acesso. Ou eles podem criar um novo endereço de e-mail semelhante ao do fornecedor.
Eles então entrarão em contato com os clientes e solicitarão que grandes transferências bancárias sejam feitas. Nesse ponto, o golpista entende como os e-mails legítimos aparecem e que tipo de solicitação de transferência faz sentido. Isso permite que eles criem e-mails altamente realistas.
Muitas empresas pagarão a fatura automaticamente sem solicitar verificação.
O que acontece se você for uma vítima de VEC?
O comprometimento do e-mail do fornecedor afeta duas partes, a empresa e seus clientes.
Embora o fornecedor possa sofrer danos à sua reputação, ele não perde dinheiro diretamente para os invasores. As informações são roubadas de suas contas de e-mail, mas essas informações são usadas para roubar dinheiro de outras pessoas.
As principais vítimas deste ataque são os clientes. O valor que eles perdem depende de quanto eles costumam pagar ao fornecedor e se o invasor é capaz de fazer com que eles enviem mais do que esse valor. Como os invasores são anônimos, geralmente é impossível recuperar o pagamento.
Como se proteger contra VEC
Tanto os fornecedores quanto seus clientes podem se proteger de ataques VEC aumentando o treinamento dos funcionários e alterando a forma como os e-mails são acessados.
Treinar funcionários para identificar e-mails fraudulentos
Esse tipo de ataque se torna significativamente mais difícil se os funcionários que trabalham para o fornecedor e seus clientes forem treinados para detectar e-mails fraudulentos. Todos os funcionários devem entender a ameaça colocado por phishing.
Qualquer e-mail que inclua uma fatura também deve passar por um escrutínio adicional antes de qualquer pagamento ser feito. Os e-mails enviados aos clientes do fornecedor geralmente são realistas e enviados no horário normal. Mas eles ainda podem ser detectados porque o endereço de e-mail não corresponde ou o pagamento está sendo solicitado para uma conta bancária diferente.
Implementar autenticação de dois fatores
Autenticação de dois fatores (2FA) pode proteger contra phishing. Uma vez adicionado a uma conta, ele impede que qualquer pessoa faça login, a menos que tenha acesso ao dispositivo 2FA.
Isso evita que ataques VEC ocorram porque, mesmo que um funcionário forneça sua senha ao invasor, o invasor não poderá usá-la.
O comprometimento de e-mail do fornecedor é uma ameaça importante para entender
O comprometimento de e-mail do fornecedor é um novo tipo de comprometimento de e-mail comercial que todos os fornecedores e seus clientes devem conhecer. É particularmente problemático para empresas que geralmente pagam quantias significativas de dinheiro a seus fornecedores – mas os próprios fornecedores também devem estar cientes dos possíveis danos à sua reputação.
Como a maioria dos ataques baseados em e-mail, o VEC depende de funcionários de negócios que não sabem como identificar e-mails fraudulentos. Pode, portanto, ser prevenida com o aumento do treinamento. Simples mas efetivo.
