Em um dos nossos últimos posts, falamos sobre um comunicado do FBI que alerta para o “aumento dramático” dos casos de spear phishing: tipo de golpe cibernético direcionado a alvos específicos, em sua maioria empresas. Esse tipo de phishing já teria custado US$ 2 bilhões a empresas nos últimos 3 anos segundo a agência, com mais de 17 mil queixas registradas entre 2013 e 2016 – e com um aumento de 270% no número de queixas desde 2015.

Um caso recente é ilustrativo do tamanho do prejuízo a que empresas estão sujeitas em golpes desse tipo. Recentemente, autoridades dos EUA informaram que uma empresa norte americana (cujo nome foi mantido em sigilo) foi vítima de um golpe de US$ 100 milhões, causado por indivíduos que criaram contas de e-mail falsas através das quais faziam-se passar por fornecedores da corporação.

O golpe está sendo chamado pela agência de notícia Reuters de “um dos maiores casos” de spear phishing e comprometimento de e-mail corporativo. A história veio à tona após o governo do país entrar com uma ação de confisco na corte federal de Manhattan, buscando recuperar US$ 25 milhões envolvidos na fraude que foram depositados em pelo menos 20 bancos ao redor do mundo. Outros US$ 74 milhões já teriam sido recuperados.

Segundo a Reuters, o golpe aconteceu entre os meses de agosto a setembro e foi descoberto por um banco no Chipre, que suspeitou de uma transação financeira de grande vulto.

De acordo com o processo, os fraudadores criaram um e-mail falso que simulava um endereço de um dos fornecedores da companhia na Ásia. Fazendo-se passar por esse fornecedor, eles fizeram contato com uma empresa de serviços de pagamento contratada pela empresa dos EUA para controlar as transferências de fornecedores terceirizados naquele continente. Os golpistas conseguiram convencer a empresa de pagamentos a transferir US$ 98,8 milhões para o banco no Chipre.

Ao desconfiar da transferência, o banco conseguiu congelar US$ 74 milhões do total. O restante do dinheiro já tinha sido enviado para outras contas em diversos países.

Como se proteger

Para fisgar suas vítimas, golpistas procuram fazem uso das relações de confiança entre colaboradores, entre estes e seus chefes e, mais recentemente, entre empresas que mantém relações comerciais. Eles investem pesado na busca de informações públicas que possam ser úteis, seja no site da empresa (relações hierárquicas, informações sobre pessoas em posição de comando, fornecedores, etc), seja em redes sociais (dados pessoais de colaboradores que possam ser usados como isca para phishings). Por isso, é importante que colaboradores – e a própria empresa – tenham cuidado com as informações compartilhadas na internet.

Outro cuidados a serem observados:

• Desconfie de mensagens que pedem ações urgentes, especialmente as que envolvem transações financeiras. Verifique a urgência da operação diretamente com a fonte da mensagem pessoalmente, quando possível.
• Tenha cuidado com mensagens solicitando informações pessoais.Procure confirmar a identidade de quem está enviando e-mail (mesmo que corporativo) antes de enviar qualquer informação.

Além disso, recomendamos a leitura deste post, onde sugerimos seis políticas de segurança da informação que podem evitar ataques de phishing.