Neste artigo irá encontrar:
O BEC (Business Email Compromise) é um tipo de pishing em que o público-alvo são funcionários de companhias de qualquer setor, e envolve 2 práticas criminosas muito comuns: a engenharia social ou o malware.
Existem diferentes maneiras de fazer BEC, mas a metodologia de ataque sempre é parecida: usando engenharia social, um estelionatário estuda em detalhe o perfil da vítima, sua posição na empresa, personalidade, e quais são suas funções diárias, para conseguir acesso à informação privilegiada que em algumas ocasiões pode ser através de um malware instalado no computador, depois de enviar um e-mail que seja atraente o suficiente para que o funcionário abra.
Quais são as áreas da companhia mais vulneráveis?
- Finanças: Depois de descobrir quais são os fornecedores da companhia, o criminoso exigirá pressão para serem pagas contas falsas, normalmente, sobre quem trabalha nos níveis 1 e 2.
- Legal: Advogados que podem ou não ser verdadeiros, ameaçam com processar a empresa para conseguir informações confidenciais da companhia.
- TI: parece impossível que a área que cuida da seguridade dos sistemas da empresa possa ser vítima de fraude, mas desde o início da pandemia, essa prática aumentou 108% no Brasil, e sim, a cifra inclui principalmente as empresas do setor do e-commerce.
Soluções
- A criação de modelos de machine learning que possam entender uma anomalia, por exemplo, entrada de e-mails suspeitos, evitarão preconceitos econômicos.
- A Enterprise Data Validation, que verifica a identidade de uma pessoa, além de oferecer a lista de estelionatários ativos numa região.
- Treinar os funcionários desde o onboarding, focando no aumento da consciência sobre a importância da autenticação multiple em qualquer situação, seja com um cliente, fornecedor ou até colega.
O BEC infelizmente é muito eficaz, e todos somos vulneráveis a cair nesses truques. Mas por quê acontece? Porque é humano vs humano, porque se adapta mais rápido às nossas reações, e, porque tem algo que a máquina (ainda) não tem, sentimentos.
O Relatório Global de Fraude e Risco em 2019/20 publicado pela Kroll provou isso: 55% das empresas brasileiras participantes na pesquisa foram significativamente afetadas por vazamento de informação interna, embora 71% responderam que consideram essa questão uma prioridade, ou seja, mais da metade dos entrevistados foram prejudicados, apesar de seus esforços para manter as empresas seguras. Isso é sinal de que o setor privado ainda precisa fortalecer seus investimentos em capacitação de stakeholders, além de adequar permanentemente suas estratégias de proteção de dados, conforme as organizações criminosas evoluem.
