Há uma variedade de golpes nos quais invasores invadem os sistemas de e-mail de uma empresa ou criar modelos de e-mail enganosos para convencer os funcionários a transferir dinheiro para contas bancárias fraudulentas. Descrito geralmente como Compromisso de e-mail comercial (BEC), incluindo phishing, chamadas telefônicas predatórias ou roubo de dados em geral.
Esses ataques por e-mail são considerados alguns dos crimes cibernéticos de maior custo financeiro em termos de danos infligidos. De acordo com FBI, 19,369 reclamações de ataques por e-mail foram registradas em 2020, totalizando uma perda total impressionante de US $ 1.8 bilhão.
SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS.
Como funcionam os ataques por e-mail?
Um golpista de BEC pode utilizar qualquer uma das táticas abaixo:
Falsificação de sites ou contas de e-mail
Um hacker de BEC sabe que os funcionários não examinam todas as letras no endereço de e-mail do remetente se a mensagem for convincente e o remetente for um parceiro de transação familiar como um fornecedor. O endereço de e-mail do remetente pode ser algo como johndoe@example.com. mas o hacker o mudará habilmente para jhondoe@exemplo.com.
E-mails de phishing
Mensagens de phishing visar membros específicos e importantes da empresa para enganar as vítimas, levando-as a divulgar informações confidenciais (como senhas das contas da empresa e outros ativos) aos hackers.
Envio de chamadas e mensagens
Embora não seja inteiramente baseado em e-mail, aqueles que usam mensagens de phishing ou outras táticas predatórias de e-mail também operam usando chamadas móveis, mensagens de texto e correio de voz. Nessa tática, a vítima é contatada por um funcionário da empresa instruindo a transferência de dinheiro ou documento. Os atacantes de BEC também são conhecidos por usar tecnologia profundamente falsa para se passar por executivos da empresa em chamadas telefônicas e mensagens de correio de voz. Foi o que aconteceu em 2019 com um executivo de uma empresa no Reino Unido, quando agressores fingiram ser seu chefe e o direcionaram a transferir dinheiro para um fornecedor húngaro. Os criminosos escaparam com 220,000 euros.
Quais são os exemplos proeminentes de comprometimento de e-mail comercial?
Qualquer um ou uma combinação dos seguintes tipos de comprometimento de e-mail comercial foram implementados com êxito por criminosos cibernéticos.
Fraude de CEO
Nesse tipo de comprometimento de email comercial, os cibercriminosos fingem ser o principal executivo e enviam um email para um funcionário da divisão de finanças da empresa, instruindo o dinheiro a ser transferido para a conta do invasor.
Compromisso de conta
A conta de e-mail de um funcionário da empresa é hackeada e é usada para solicitar o pagamento de faturas de clientes ou clientes. As informações na fatura fraudulenta são manipuladas a fim de direcionar os pagamentos para uma conta que pertence ao invasor BEC.
Roubo de identidade de advogado
O invasor se faz passar pelo advogado da empresa, seja por e-mail ou telefone, e solicita a um funcionário que transfira fundos em nome da empresa ou com a aprovação do CEO. As vítimas visadas geralmente são funcionários de nível inferior que não têm autoridade ou conhecimento para validar tal solicitação. Os golpistas astutos do BEC geralmente conduzem essa tática antes de um fim de semana ou feriado prolongado, quando os funcionários são pressionados a terminar o trabalho.
roubo de dados
Os funcionários do departamento de Recursos Humanos ou Contabilidade são os alvos usuais desse ataque. Esforços são feitos pelos cibercriminosos para enganar os funcionários, levando-os a divulgar informações confidenciais ou críticas de propriedade da empresa. Se esses dados forem obtidos com sucesso, os invasores podem vendê-los para os concorrentes de negócios da vítima e para a Dark Web, ou usá-los como adereços para outros tipos de esquemas de BEC, como a Fraude do CEO.
Esquema de fatura falsa
Nesse esquema, os cibercriminosos fingem ser os fornecedores ou prestadores de serviços da empresa. Eles enviam e-mails enganosos ao funcionário da empresa-alvo, solicitando pagamento por serviços prestados ou suprimentos vendidos. O funcionário é então induzido a enviar dinheiro para uma conta fraudulenta.
Como o SSL.com pode proteger sua empresa do comprometimento do e-mail comercial?
A principal razão pela qual o BEC é um golpe tão eficaz é que ele tira proveito das tendências humanas: distração ou pressão no trabalho e sendo influenciado pela autoridade. Em um ambiente de trabalho onde a eficiência é necessária, o cérebro humano tende a pensar heuristicamente, especialmente ao lidar com padrões familiares. Treinar funcionários para serem mais vigilantes pode ajudar, mas não há garantia total. E com o surgimento da tecnologia artificial que pode imitar os padrões da fala humana, e-mails fraudulentos podem ser reforçados. O que é necessário são métodos totalmente comprovados que podem levar a uma melhor segurança cibernética. É aqui que SSL.com pode ajudar a sua empresa.
Protegendo seu sistema de e-mail com S/MIME
Extensões de correio da Internet seguras / multifuncionais (S/MIME) é uma ferramenta baseada em criptografia assimétrica e infraestrutura de chave pública (PKI) que criptografa e autentica fortemente
mensagens de e-mail, comprovando assim a identidade da origem do e-mail.
Os nossos S/MIME serviço efetivamente impede que o Compromisso de Email Empresarial vitimize os funcionários da empresa, encorajando um protocolo que afirma que emails sob os nomes de executivos, colegas e provedores de serviço só serão entretidos se eles tiverem um S/MIME certificado assinado e validado por nós. Se os funcionários receberem um e-mail alegando ser de alguém da chefia da empresa, mas não estiver assinado digitalmente, eles poderão ser orientados a não responder e, em vez disso, relatar o fato ao departamento de TI para determinação de um especialista. Este protocolo capacita até mesmo o funcionário mais cansado ou facilmente distraído de cometer erros graves.
Assinatura de documento
Quando se trata de lidar com o comprometimento da conta, nosso serviço de assinatura de documentos mostra o seu valor por garantindo aos seus clientes e clientes que as faturas de pagamento que eles estão recebendo realmente vieram de você. Se não há assinatura digital, então eles não devem entretê-los, não importa o quão realistas eles pareçam.
Para o esquema de fatura falsa, você pode estabelecer um sistema com seus fornecedores ou prestadores de serviço no qual você só deve se comunicar usando e-mail criptografado e os documentos usados em suas transações devem ter uma assinatura digital validada e à prova de violação. Quanto aos seus funcionários, eles podem ser treinados novamente para examinar os documentos recebidos e apenas responder aos que estão assinados digitalmente.
Acesse esta página para ver qual S/MIME e o certificado de assinatura de documento SSL.com é o que melhor atende às suas necessidades.
