Os phishers aproveitam esses e outros fatores em seus ataques, e os e-mails de phishing podem assumir diversas formas. Embora alguns ataques de phishing lancem uma rede ampla, outros (como ataques de spear phishing) são muito adaptados ao seu alvo. Em alguns casos, um invasor se fará passar por uma figura de autoridade ou outra parte confiável para atingir seu objetivo.
Os esquemas de phishing também não se limitam ao email. Os invasores podem aproveitar plataformas de colaboração corporativa e aplicativos de comunicação em dispositivos móveis para realizar seus ataques.
Os cinco ataques de phishing mais caros até hoje
Os cinco ataques aqui descritos exigiram pouca sofisticação por parte dos atacantes, mas permitiram-lhes roubar dezenas de milhões de dólares de uma organização.
1. Facebook e Google
Entre 2013 e 2015, o Facebook e o Google foram enganados em US$ 100 milhões devido a uma extensa campanha de phishing. O phisher aproveitou o fato de ambas as empresas usarem Quantum, uma empresa com sede em Taiwan, como fornecedora. O invasor enviou uma série de faturas falsas para a empresa que se passou por Quantum, que tanto o Facebook quanto o Google pagaram.
Eventualmente, o scam foi descoberto e o Facebook e o Google agiram por meio do sistema jurídico dos EUA. O agressor foi preso e extraditado da Lituânia e, como resultado dos procedimentos legais, o Facebook e o Google conseguiram recuperar US$ 49,7 milhões dos US$ 100 milhões que lhes foram roubados.
2. Banco Crelan
O Crelan Bank, na Bélgica, foi vítima de um scam Business Email Compromise, BEC (BEC) que custou à empresa aproximadamente US$ 75,8 milhões. Esse tipo de ataque envolve o phisher comprometendo a conta de um executivo de alto nível dentro de uma empresa e instruindo seus funcionários a transferir dinheiro para uma conta controlada pelo invasor. O ataque de phishing do Crelan Bank foi descoberto durante uma auditoria interna e a organização conseguiu absorver a perda porque tinha reservas internas suficientes.
3. FACC
A FACC, fabricante austríaca de peças aeroespaciais, também perdeu uma quantia significativa de dinheiro em um scam BEC. Em 2016, a organização anunciou o ataque e revelou que um phisher se passando por CEO da empresa instruiu um funcionário do departamento de contabilidade a enviar US$ 61 milhões para uma conta bancária controlada pelo invasor.
Este caso foi incomum porque a organização optou por demitir e tomar medidas legais contra seu CEO e CFO. A empresa pediu US$ 11 milhões em indenização aos dois executivos devido à falha na implementação adequada de controles de segurança e supervisão interna que poderiam ter evitado o ataque. Este processo demonstrou o risco pessoal para os executivos da organização de não realizarem a “devida diligência” no que diz respeito à segurança cibernética.
4. Laboratórios Upsher-Smith
Em 2014, um ataque do BEC contra uma empresa farmacêutica de Minnesota resultou na perda de mais de US$ 39 milhões para os agressores. O phisher se fez passar pelo CEO dos Laboratórios Upsher-Smith e enviou e-mails ao coordenador de contas a pagar da organização com instruções para enviar determinadas transferências eletrônicas e seguir as instruções de um “advogado” que trabalha com os invasores.
O ataque foi descoberto no meio do caminho, permitindo à empresa cancelar uma das nove transferências eletrônicas enviadas. Isso diminuiu o custo para a empresa de US$ 50 milhões para US$ 39 milhões. A empresa decidiu processar o seu banco por fazer as transferências, apesar dos numerosos “sinais de alerta” perdidos.
5. Rede Ubiquiti
Em 2015, a Ubiquiti rede, uma empresa de redes de computadores com sede nos EUA, foi vítima de um ataque BEC que custou à empresa 46,7 milhões de dólares (dos quais esperavam recuperar pelo menos 15 milhões de dólares). O invasor se passou pelo CEO e advogado da empresa e instruiu o diretor de contabilidade da empresa a fazer uma série de transferências para fechar uma aquisição secreta. Ao longo de 17 dias, a empresa realizou 14 transferências bancárias para contas na Rússia, Hungria, China e Polónia.
O incidente só chamou a atenção da Ubiquiti quando esta foi notificada pelo FBI de que a conta bancária da empresa em Hong Kong pode ter sido vítima de fraude. Isso permitiu à empresa interromper quaisquer transferências futuras e tentar recuperar o máximo possível dos US$ 46,7 milhões roubados (o que representava cerca de 10% da posição de caixa da empresa).
A importância de uma proteção Anti-phishing robusta
Os dispendiosos ataques de phishing descritos aqui não exigiram muita sofisticação por parte do invasor. Uma pequena pesquisa em uma empresa revelou a identidade de indivíduos-chave (CEO, CFO, etc.) e fornecedores. Os invasores usaram essas informações para criar e-mails confiáveis que enganaram seus alvos para que enviassem dinheiro para contas bancárias controladas pelos invasores.
Embora alguns ataques de phishing sejam projetados para entregar malware, tornando essencial uma solução de segurança de endpoint , esse nem sempre é o caso. Todos os ataques descritos aqui não continham conteúdo malicioso que pudesse ser detectado por um antivírus.
Para se proteger contra esses ataques, uma organização precisa de uma solução Anti-phishing capaz de detectar ataques BEC por meio da análise do corpo de um e-mail. Para saber mais sobre as soluções de segurança de e-mail da Check Point e como elas podem proteger a sua organização contra a ameaça de phishing, entre em contato conosco. Em seguida, solicite uma demonstração para ver a solução em ação.
Opinião