Robert Haist (*)
Não é novidade que ataques do tipo Business Email Compromise (BEC; ou ataques de Comprometimento de Email Corporativo, em português), que concedem aos cibercriminosos acesso não autorizado a informações confidenciais ou atraem vítimas para a transferência de fundos, aumentam a cada dia em todo o mundo.
De acordo com um relatório da empresa norte-americana de segurança de e-mails via uso de AI comportamental Abnormal Security, os ataques BEC cresceram mais de 81% em 2022 e 175% nos últimos dois anos. Esta tendência foi desencadeada pela adoção dos modelos de trabalho híbrido e remoto e pela mudança concomitante nos hábitos dos funcionários e no cenário de segurança. Por exemplo, o aumento da utilização de dispositivos pessoais no trabalho criou lacunas de segurança, uma vez que estes muitas vezes não possuem os protocolos de proteção implementados nos dispositivos da empresa.
Além disso, o gerenciamento de uma força de trabalho geograficamente dispersa torna mais difícil para as equipes de TI manter a visibilidade da rede e o controle sobre o acesso aos dados. Ambos criam um terreno fértil para invasores BEC que podem explorar vulnerabilidades em dispositivos pessoais ou enganar funcionários para que concedam acesso não autorizado aos sistemas. As consequências destes ataques podem ser devastadoras, resultando em perdas financeiras, danos à reputação e perturbações operacionais. Na verdade, o custo médio de um ataque BEC bem-sucedido é estimado em mais de US$ 125 mil.
Esses golpes se aproveitam de vulnerabilidades humanas, e as táticas tradicionais de prevenção, focadas apenas na filtragem de e-mails, não são suficientes para manter as empresas seguras. O verdadeiro poder no combate à BEC reside na construção de uma cultura de sensibilização para a segurança e na implementação da confiança zero no centro de um modelo de segurança abrangente.
. Capacitação de Funcionários: a primeira linha de defesa – O treinamento de conscientização sobre segurança tem ganhado cada vez mais importância porque capacita os funcionários a se tornarem participantes ativos na luta contra ataques de phishing, incluindo os golpes BEC. Os e-mails de phishing têm se tornado mais sofisticados a cada dia, com táticas de engenharia social que podem não apenas driblar os filtros mais bem-intencionados como escapar à vigilância até dos funcionários mais conscientes.
Por meio do uso de dados coletados em mídias sociais ou violações prévias, os cibercriminosos geralmente fazem referência a informações privilegiadas e conversas anteriores para tornar confiável suas representações como pessoas reais, principalmente como executivos, colegas de trabalho ou fornecedores.
Essa confiança falsamente construída, combinada com a criação de um enganoso senso de urgência por parte do invasor, pode facilmente induzir funcionários não treinados a divulgar informações confidenciais ou a autorizar pagamentos fraudulentos. Por conta disso, o treinamento tradicional, que apenas alerta os trabalhadores sobre e-mails de phishing, não é mais suficiente para evitar ataques bem-sucedidos.
Os programas modernos de sensibilização para segurança devem ser dinâmicos e envolventes e simular cenários do mundo real que ensinam a identificar sinais de alerta em e-mails, capacitando os funcionários com habilidades para reconhecer táticas de engenharia social, a exemplo de identificação de sinais reveladores como endereços de remetentes falsificados e erros gramaticais, entre outros, e treinando-os para que sejam mais céticos em relação a solicitações inesperadas, em especial às que envolvem transações financeiras ou alterações nas informações de conta.
A força de trabalho deve ser ainda incentivada a verificar as informações de forma independente por meio de canais estabelecidos – como, por exemplo, ligar para um número de telefone conhecido ou contactar o remetente através de um método de comunicação diferente a fim de confirmar a legitimidade de um pedido. E mais: tais programas devem ser contínuos, e não um evento único, porque só assim será possível que os funcionários permaneçam vigilantes e desconfiados em relação a comunicações suspeitas.
. Zero Trust: o núcleo do cenário remoto seguro – Ainda assim, mesmo com os altos níveis atuais de treinamento de funcionários, alguns ataques BEC conseguirão ultrapassar a barreira humana. E é justamente aqui que entram em ação processos e estratégias de proteção mais abrangentes para redução de danos. O Zero Trust (Confiança Zero, em português) é um modelo de segurança que significa ausência de qualquer nível de confiança inerente às pessoas dentro ou fora da rede.
Ou seja: cada usuário e dispositivo, independentemente da localização ou do nível de confiança percebido, deve ser continuamente checado e autenticado antes de obter acesso a quaisquer recursos – o que eleva significativamente a proteção contra os invasores porque, mesmo que consigam comprometer uma única credencial de login, eles não terão acesso automático a todo o sistema.
Um componente chave do Zero Trust é a autenticação multifator (MFA, sigla em inglês para Multi-Factor Authentication), que atua como vários bloqueios em cada ponto de acesso. Assim como um sistema de segurança física que exige múltiplas formas de identificação, o MFA exige nome de usuário, senha e um fator de verificação adicional, como códigos de aplicativo de telefones ou leitura de impressão digital. Isso torna a entrada não autorizada muito mais difícil, inclusive por meio de golpes BEC. Logo, qualquer infraestrutura de TI implementada deve ter Zero Trust e MFA em sua essência.
Outro complemento à confiança zero é, sem dúvida, o princípio de acesso com privilégios mínimos; concedendo aos usuários apenas o nível necessário para que realizem suas tarefas. Imagine que a rede é um castelo e que cada funcionário tem apenas uma chave que desbloqueia só algumas áreas específicas, e não todo o salão principal. É uma estratégia de primeira linha para minimizar danos caso as credenciais sejam comprometidas, uma vez que os invasores só terão acesso aos dados e recursos atribuídos ao funcionário que sofrer o ataque. Em outras palavras: a fortaleza não será destruída.
Quero ainda aproveitar a metáfora do castelo para ressaltar que, juntamente com essas táticas, as empresas devem aprimorar e elevar o uso de monitoramento contínuo e decisões de acesso baseadas em risco para que ajam como ‘guardas’ que patrulham os corredores do forte. As equipes de segurança podem se valer de análises avançadas para monitorar a atividade do usuário e identificar anomalias que possam indicar comportamento suspeito.
Além disso, a confiança zero permite a implementação de controles de acesso baseados em risco.
Por exemplo, o acesso a partir de um local não reconhecido pode acionar um alerta de Autenticação Forte ou exigir aprovação adicional antes da concessão de acesso.
Por fim, as equipes de segurança podem também utilizar segmentação de rede para conter ameaças. Essa tática de segurança envolve dividir a rede em compartimentos menores para que, mesmo que consigam violar uma determinada seção, os hackers tenham movimentação restrita e sejam impedidos de comprometer toda a rede.
Se o castelo que mencionamos anteriormente tiver compartimentos separados para diferentes funções, como arsenal, tesouraria e alojamentos, os agressores até podem violar a parede externa e entrar no pátio, mas serão retidos ali mesmo, sem chegar a ter acesso aos objetos de valor.
. Abordagem Multifacetada Contra Ataques BEC – A criação de uma defesa robusta contra golpes de crimes cibernéticos por e-mail requer uma abordagem em camadas e estratégias de segurança abrangentes que alavanquem a confiança zero. No entanto, essas ferramentas não têm como fazer todo o trabalho pesado sozinhas. As empresas precisam investir em treinamentos contínuos de conscientização sobre segurança que incorporem cenários do mundo real e ensinem os funcionários a identificar e relatar atividades suspeitas e tomar as decisões corretas.
Só desta forma o mundo corporativo será capaz de combater a crescente onda de fraudes BEC.
(*) – É CISO e Vice-Presidente de Segurança da TeamViewer (http://www.teamviewer.com).