Você pode perder muito em um golpe de phishing. Esses ataques mostram o quanto.
Os ataques de phishing dispararam, com os invasores aproveitando as mais recentes vulnerabilidades e oportunidades na mudança maciça para o trabalho remoto e armazenamento em nuvem.
Phishing é uma fraude em que os invasores enviam e-mails, mensagens ou telefonemas mal-intencionados para induzi-los a clicar em links ou anexos nocivos, visitando sites fraudulentos, compartilhando dados confidenciais ou tornando-os suscetíveis a ataques cibernéticos.
Ser vítima de ataques de phishing agora leva regularmente a perdas financeiras substanciais para indivíduos e corporações. Aqui estão alguns dos ataques de phishing mais prejudiciais financeiramente da história.
1. Facebook e Google
Entre 2013 e 2015, o Facebook e o Google foram vítimas de um golpe de fatura falsa, perdendo mais de US$ 100 milhões. No golpe, Evaldas Rimasauskas, um hacker lituano, montou uma empresa falsa que se fez passar por Quanta Computer, um fabricante de computadores com sede em Taiwan que trabalha com o Facebook e o Google.
O agressor ainda abriu contas bancárias para lavagem de dinheiro em vários países, incluindo Chipre e Letônia, sob o mesmo nome da empresa falsa.
Evaldas passou a enviar faturas aos funcionários do Facebook e do Google, levando-os a enviar-lhe os fundos solicitados. No entanto, ele acabou sendo preso, formalmente acusado de fraude eletrônica e obrigado a perder $ 49,7 milhões.
2. Fotos da Sony
A Sony foi vítima de um ataque de spear phishing (um dos muitos tipos diferentes de ataques de phishing) que impediu a empresa de lançar um filme de comédia em todo o mundo. O ataque estava ligado aos “Guardiões da Paz”, o grupo de hackers que vazou grandes quantidades de dados confidenciais sobre os funcionários da empresa e seu portfólio de filmes em 2014.
Para executar o ataque, os cibercriminosos enviaram e-mails aos funcionários da Sony, incluindo o CEO Michael Lynton, instando-os a verificar seu ID Apple devido para "comportamento suspeito da conta". As mensagens de e-mail também incluíam links para sites de phishing criados para roubar o login dos funcionários credenciais.
Meses depois, os hackers violaram o System Center Configuration Manager (SCCM) da Microsoft. Isso permitiu que eles instalassem malware em todos os dispositivos dos funcionários, roubassem terabytes de dados privados e excluíssem as cópias originais dos computadores da Sony.
Os cibercriminosos vazaram quatro filmes inéditos e vários materiais confidenciais, incluindo comunicações entre executivos, números de previdência social e salários de funcionários, via compartilhamento de arquivos redes. Para promover sua agenda, o grupo hacktivista exigiu que a Sony cancelasse o lançamento planejado de “The Interview”, um filme de comédia.
Apesar de a Sony não divulgar uma estimativa de custo oficial, as primeiras avaliações da extensão dos danos corporativos indicam perdas superiores a 100 milhões.
3. Banco Crelan
Em 2016, o banco belga Crelan foi alvo de um esquema de Business Email Compromise (BEC), resultando em uma perda de $ 75,8 milhões. O criminoso, fazendo-se passar pelo CEO do banco, pediu ao departamento financeiro que aprovasse a transferência do valor, o que foi feito.
O ataque foi descoberto durante uma auditoria interna e relatado ao departamento de justiça, mas os agressores nunca foram identificados. Em resposta, o banco adotou medidas rigorosas para reforçar seus procedimentos de segurança interna.
4. FACC
A Fischer Advanced Composite Components (FACC) é uma empresa austríaca especializada na fabricação de peças aeroespaciais. Sua base de clientes inclui líderes da indústria como Boeing, Airbus e Rolls-Royce.
2015/16 marcou um ano de negócios fatídico para a empresa, pois foi vítima de um golpe do BEC, perdendo cerca de US$ 55 milhões. O incidente se desenrolou quando um perpetrador, se passando por CEO da empresa em um e-mail, pediu ao departamento de contabilidade que transferisse os recursos para um banco estrangeiro como parte de um “projeto de aquisição”.
Ao perceber que foram enganados, o FACC implementou contramedidas que levaram ao bloqueio da transferência de US$ 12 milhões. Apesar disso, o CEO da empresa, Walter Stephan, e o CFO foram demitidos após o incidente. A empresa também entrou com uma ação contra eles, citando sua falha em implementar controles de segurança e supervisão.
5. Laboratórios Upsher-Smith
Upsher-Smith Laboratories, uma empresa farmacêutica em Minnesota, é outra vítima de alto perfil de um ataque de fraude de CEO. A empresa sucumbiu ao golpe em 2014, quando fraudadores disfarçados de CEO da empresa enviaram um e-mail ao Coordenador de contas a pagar da empresa.
Esse golpe levou a nove transferências eletrônicas em três semanas, resultando em uma perda de mais de 50 milhões. A empresa, no entanto, detectou o ataque em andamento e revogou com sucesso uma transferência eletrônica, reduzindo a perda para US$ 39 milhões.
6. Redes Ubiquiti
Em 2015, a Ubiquiti Networks, fabricante de tecnologia de rede com sede em San Jose, perdeu US$ 46,7 milhões em fraudes de CEOs. Nesse caso, o invasor se fez passar por CEO e advogado da empresa, informando ao departamento financeiro que os fundos eram necessários para facilitar uma aquisição confidencial.
Usando e-mails de spear phishing, o perpetrador convenceu o departamento financeiro da empresa a transferir fundos da subsidiária da empresa em Hong Kong para as contas do invasor no exterior.
A Ubiquiti então fez 14 transferências eletrônicas em 17 dias para vários países, incluindo China, Rússia, Hungria e Polônia. Ao descobrir a fraude, a empresa iniciou processos judiciais em diversas jurisdições estrangeiras, recuperando US$ 8,1 milhões.
7. Leoni AG
A Leoni AG, fabricante líder de fios e cabos com sede na Alemanha, sofreu uma perda de cerca de US$ 44 milhões após um ataque de e-mail de phishing. O incidente de 2016 envolveu golpistas que, se passando por altos executivos alemães da empresa, enganaram um funcionário financeiro do escritório da empresa na Romênia para transferir os fundos para contas no exterior.
8. Toyota Boshoku Corporation
Em 2019, a Toyota Boshoku Corporation, uma subsidiária europeia do Toyota Group e fornecedora líder de autopeças Toyota, foi alvo de um ataque BEC. O incidente envolveu um invasor se passando por parceiro de negócios da subsidiária, solicitando uma transferência imediata de fundos para uma conta bancária desconhecida.
O perpetrador justificou a urgência da transação afirmando que qualquer atraso prejudicaria a produção das peças. Isso levou o departamento de finanças e contabilidade da corporação a perder mais de US$ 37 milhões.
9. Corporação Xoom
Um golpe de phishing que visava a Xoom Corporation, um provedor líder de serviços de transferência eletrônica de fundos, resultou em uma perda de US$ 30,8 milhões. O relatório do quarto trimestre de 2014 da empresa citou o BEC como a causa do prejuízo.
O ataque envolveu golpistas se passando por funcionários da Xoom e pedindo ao departamento financeiro que depositasse os fundos em contas fraudulentas no exterior. Após a ocorrência, o diretor financeiro (CFO) da Xoom, Matt Hibbard, renunciou.
Proteja você e sua empresa contra ataques de phishing
Apesar de grandes empresas serem os alvos principais, golpes de phishing que afetam milhões de usuários individuais são muito comuns. Esses ataques não levam apenas à perda monetária direta, mas também à perda de produtividade e dados, danos à reputação e perda de clientes.
Os custos dos ataques de phishing já estão remodelando a forma como os indivíduos e as empresas operam e gerenciam os riscos. Para se defender contra ataques de phishing, é crucial adotar medidas de proteção, incluindo o uso de fortes senhas, implementando autenticação de dois fatores e fornecendo treinamento de conscientização de segurança para funcionários.
