O comprometimento de e-mail comercial (BEC) é um grande negócio para agentes mal-intencionados. De acordo com o Relatório de Crimes na Internet do FBI de 2021, o BEC foi responsável por quase US$ 2,4 bilhões em perdas de crimes cibernéticos em 2021.
Em sua raiz, é um tipo de ataque de phishing. E com o surgimento de smartphones e tablets, os invasores estão se expandindo muito além do e-mail. Eles agora aproveitam outras plataformas, como mensagens SMS, aplicativos de mensagens como Signal e WhatsApp e aplicativos de mídia social para atingir e comprometer seus alvos.
E com os inúmeros aplicativos SaaS que seus funcionários usam todos os dias, um único ataque de phishing bem-sucedido pode ter um efeito cascata em toda a organização. A nuvem facilitou a produtividade, mas também ampliou os efeitos do phishing.
O que é um comprometimento de e-mail comercial?
Em ataques BEC mais tradicionais, o agente da ameaça compra ou coleta listas de contatos que incluem nomes, endereços de e-mail e números de telefone de diretores financeiros (CFOs), equipes financeiras e contas a pagar. Uma mensagem direcionada é enviada, representando um executivo de alto escalão (geralmente o CEO) com uma solicitação urgente de pagamento que precisa ser feita, como um projeto urgente. Os invasores costumam enviar dezenas de milhares de mensagens de phishing por ano e, se apenas uma pessoa morder a isca, isso pode resultar em grandes perdas para sua organização.
Mas, como descreverei abaixo, o BEC evoluiu muito além desses parâmetros clássicos. À medida que esses ataques se tornam mais populares, as organizações precisam desenvolver suas defesas. Como acontece com qualquer ataque de phishing, a conscientização e a educação são o primeiro passo para a prevenção, mas certamente não são o único passo.
Pense além do e-mail para ficar à frente dos riscos de phishing
O celular apresenta um desafio maior para os alvos de ataques de phishing porque o treinamento em segurança cibernética geralmente não se concentra no celular. Historicamente, o treinamento de phishing pede aos usuários que procurem indicadores que só podem ser vistos em um computador desktop. Infelizmente, muitos aplicativos de e-mail para dispositivos móveis não exibem o endereço de e-mail do remetente e limitam a capacidade de visualizar facilmente hiperlinks para sites potencialmente falsos.
O problema é agravado pela forte dependência da comunicação móvel por parte das organizações em todas as horas do dia – principalmente agora que a maioria dos usuários está trabalhando remotamente. Os líderes de negócios que se comunicam com suas equipes por e-mail móvel ou aplicativos de mensagens o fazem com a expectativa de atenção imediata, o que leva os funcionários a potencialmente cair em golpes de phishing.
Também existem mais canais para os invasores entregarem seus golpes via celular. Muitas pessoas não esperam que links de phishing sejam entregues por meio de plataformas como mensagens SMS, Facebook messenger, WhatsApp ou Signal, mas eles são. O FBI até divulgou um anúncio de serviço público de que os invasores agora estão usando plataformas de reunião virtual para conduzir golpes de BEC.
O phishing moderno é a porta de entrada para sua organização
Não apenas os dispositivos móveis são muito mais fáceis de phishing, mas também porque eles têm tanto acesso aos aplicativos e dados quanto o valor da sua organização. Com o trabalho de qualquer lugar, seja um smartphone ou um tablet, seus usuários dependem cada vez mais desses endpoints para conciliar trabalho e responsabilidades pessoais. Como resultado, quaisquer erros cometidos nesses dispositivos, mesmo que não sejam gerenciados por sua TI, apresentarão riscos que podem comprometer sua infraestrutura.
Não existe uma abordagem única para prevenir BEC e phishing, mas um bom começo é perceber que os ataques de phishing não se limitam a e-mail com treinamento atualizado. Qualquer estratégia focada apenas em e-mail perderá os métodos usados para atacar usuários móveis. Ele também adota uma abordagem de plataforma unificada que protege todos os endpoints, incluindo dispositivos móveis, contra ameaças baseadas na Internet.
Entre em contato com nosso time para descobrir como proteger sua organização contra ameaças de phishing móvel.