A anatomia do comprometimento de e-mail de fornecedor

Ataques slow play com um pagamento grande

Os ataques de comprometimento de e-mail corporativo (BEC) têm evoluído.

Os golpes de phishing há muito atormentam organizações em todo o mundo, desde funcionários visados pelo spear phishing até fraudes mais gerais de taxas antecipadas, nas quais uma pequena taxa é solicitada em troca de um pagamento maior.

Recentemente, uma nova técnica, comprometimento de e-mail de fornecedor, ou VEC, está aumentando o risco para as empresas que desejam proteger seus usuários contra golpes.

Como os ataques de comprometimento de e-mail lcorporativo (BEC), o VEC funciona representando um terceiro confiável e enviando um e-mail malicioso, mas que parece legítimo, para um alvo. Embora os ataques BEC tradicionais geralmente afirmem ser de um indivíduo confiável dentro da organização, o VEC vai um passo além: ele se faz passar por fornecedores (ou outros terceiros confiáveis) para induzir o alvo a pagar faturas fraudulentas, divulgar dados confidenciais ou conceder acesso para redes e sistemas corporativos.

De acordo com uma pesquisa recente, 98% das empresas pesquisadas foram impactadas negativamente por uma violação de segurança cibernética que ocorreu em sua cadeia de suprimentos.E o custo para as organizações é alto.Em um ataque, um fabricante do Grupo Toyota perdeu mais de US$ 37 milhões após instruções de pagamento fraudulentas de terceiros maliciosos.No geral, o FBI relata que os ataques de BEC (dos quais o VEC é um subconjunto) representaram coletivamente US$ 43 bilhões em perdas nos últimos cinco anos.

Devido à natureza personalizada do VEC, identificar uma solicitação maliciosa pode ser extraordinariamente difícil, mesmo para profissionais de segurança experientes. E esses ataques estão se tornando mais comuns, em parte devido à mudança global para o trabalho remoto e aos sistemas de e-mail baseados em nuvem, que podem não ter recursos de segurança resistentes a phishing nativos ou ativados.

Ficar à frente dessas técnicas de phishing em evolução requer uma estratégia de segurança de e-mail multifacetada projetada para detectar e sinalizar extensões de e-mail suspeitas e alterações de URL, validar nomes de domínio e examinar rigorosamente solicitações de terceiros.

Como funciona o VEC

O comprometimento de e-mail de fornecedor, também conhecido como “comprometimento financeiro da cadeia de suprimentos”, é mais sofisticado e direcionado por natureza do que os ataques de BEC padrão, que não precisam necessariamente ser adaptados a um indivíduo para funcionar.

Em um ataque de BEC, um invasor se faz passar por um indivíduo específico dentro de uma organização, geralmente um CEO ou alguém com autoridade. Em seguida, ele envia solicitações desse indivíduo para vários alvos dentro da organização.

Por exemplo, um invasor pode enviar solicitações de pagamento genéricas aos funcionários afirmando ser o CEO da empresa. Embora as solicitações possam parecer legítimas, elas são relativamente fáceis de contestar se o funcionário confirmar a solicitação com o próprio CEO.

Por outro lado, o VEC geralmente requer uma maior compreensão das relações comerciais existentes, como detalhes de projetos em andamento, dados de orçamento e cronogramas de transações financeiras. Esse processo de pesquisa pode levar de semanas a meses, mas o retorno potencial para o invasor é muito maior do que os métodos de ataque mais generalizados, pois pode levar um tempo significativamente maior para o alvo identificar o ataque e interromper os pagamentos.

Depois que um invasor convence seu alvo a interagir, ele pode realizar outras ações maliciosas como solicitar o pagamento de faturas falsas, adulterar os detalhes da conta de cobrança, coletar informações confidenciais sobre a organização visada e assim por diante.

O diagrama acima demonstra a sequência de um ataque VEC, no qual o invasor se infiltra na conta de e-mail de um fornecedor para realizar solicitações de pagamento fraudulentas.

Como o VEC funciona no mundo real

Em uma série recente de ataques, o FBI descobriu que os invasores estavam se passando por empresas de construção com sede nos Estados Unidos, uma indústria que gera em média US$ 1,9 trilhão em receita anual. Os invasores pesquisaram as principais construtoras do país e coletaram dados públicos e privados sobre as bases de clientes das empresas.

Em seguida, os invasores usaram a falsificação de domínio para criar contas de e-mail a partir das quais poderiam iniciar comunicações fraudulentas com as organizações visadas, muitas vezes solicitando uma alteração nos detalhes da conta bancária. Usando táticas de VEC, nas quais eles adaptaram mensagens de e-mail, solicitações de faturas e alterações de depósito direto para cada alvo (com base nos dados que já haviam coletado), os invasores fraudaram as organizações em “centenas de milhares a milhões de dólares”.

O FBI observou que, com frequência, levava “dias ou semanas” antes que as vítimas percebessem que o ataque havia sido realizado. E as opções de recuperação financeira eram limitadas: quando um distrito escolar transferiu por engano US$ 840 mil para uma empresa de construção fraudulenta, eles só conseguiram recuperar US$ 5 mil dos fundos roubados.

Como identificar as tentativas de VEC

Como a maioria dos ataques de phishing avançados, o VEC é difícil de detectar. Os invasores costumam usar uma combinação de métodos de ataque para fazer suas mensagens parecerem reais, seja falsificando o domínio de um fornecedor respeitável ou fornecendo detalhes que podem não ser informações públicas para “provar” sua legitimidade.

Existem três razões principais pelas quais os ataques de VEC normalmente evitam a detecção:

1. O vendedor ou fornecedor inicial não percebe que está comprometido.

2. A campanha ocorre durante longos períodos de tempo e vários segmentos de e-mail, onde a maior parte da conversa é benigna e sem cargas maliciosas.

3. Chamadas para a ação (por exemplo pagar uma fatura recorrente) não são sinalizadas como suspeitas porque são projetadas para soar normais e não urgentes.

Para evitar o VEC, as organizações precisam de um parceiro de segurança que possa ajudar a verificar os e-mails recebidos e mitigar atividades fraudulentas. Algumas estratégias úteis para prevenir o VEC incluem:

• Definir as configurações de e-mail para identificar e bloquear tentativas de phishing.Usar protocolos de segurança rigorosos para verificar e sinalizar mensagens de e-mail maliciosas.

  • Evitar a falsificação de e-mail usando protocolos de autenticação de e-mail como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC)

  • Descontinuar protocolos de e-mail menos seguros como POP, IMAP e SMTP

  • Sinalizar URLs de aparência suspeita com regras do sistema de detecção de intrusão (IDS)

  • Usar a autenticação multifator (MFA) para verificar o acesso de terceiros e solicitações de alterações no nível da conta (como redefinição de senha)

• Vetar solicitações de transações de terceiros.Verificar todas as informações de transação e detalhes da conta com as partes apropriadas antes de aprovar solicitações de transferência de fundos.Além disso, incorporar um processo formal de análise e aprovação quando as informações bancárias forem modificadas por um fornecedor existente.

• Educar os funcionários sobre golpes emergentes.As técnicas de phishing estão em constante evolução para evitar a mitigação.Educar rotineiramente os funcionários sobre sinais comuns de ameaças de e-mail para diminuir a probabilidade de um ataque bem-sucedido.

  • Aplicar quaisquer métodos de mitigação e processos internos que sua organização desenvolveu para identificar ataques baseados em e-mail.

  • Treinar os usuários para examinar e-mails em busca de elementos comuns de phishing: erros de digitação em nomes de domínio, hiperlinks que contêm variações de URLs reais (por exemplo, "RealCo.com". em vez de "RealCompany.com"), etc.

  • Incentivar os funcionários a praticar uma boa higiene de e-mail, não responder a solicitações de informações pessoais ou financeiras em e-mails que não foram solicitados ou que são urgentes.

Detectar e prevenir o VEC com a Cloudflare

O Cloudflare email security protege contra uma ampla variedade de ataques, incluindo tentativas de comprometimento de e-mail de fornecedores visados e no longo prazo. Por meio de uma combinação de rastreamento da web, análise de dados de padrões e técnicas avançadas de detecção, ele verifica a internet em busca da infraestrutura do invasor, analisa mensagens para identificar elementos suspeitos e impede que e-mails de phishing cheguem à caixa de entrada.

Essa proteção avançada de e-mail é alimentada pela rede global da Cloudflare, que bloqueia uma média de 209 bilhões de ameaças cibernéticas por dia, fornecendo às organizações dados de inteligência contra ameaças exclusivos que permitem filtrar com mais eficiência ataques de phishing direcionados e outras ameaças cibernéticas. E, como parte da plataforma Cloudflare Zero Trust, ela ajuda a fornecer segurança contínua e abrangente para usuários remotos e do escritório.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Principais conclusões

Após ler este artigo, você entenderá:

• Como os ataques VEC se infiltram nas organizações

• Os sinais de alerta de um ataque VEC

• Estratégias para identificar e impedir golpes de phishing sofisticados

Recursos relacionados

• Avaliação de risco de Phishing

• Webinar: Phishing e comprometimento de e-mail comercial

• Tudo começou com um phishing: relatório de segurança de e-mails de 2021

• Ficha técnica: Cloudflare Email Security