O comprometimento de e-mail comercial (BEC) é um grande negócio para os cibercriminosos. De acordo com o estudo de cibercrime do FBI de 2021, o phishing BEC foi responsável por quase US$ 2021 bilhões em perdas em 2,4.
BEC é basicamente um tipo de ataque de phishing. A Lookout examina como o phishing moderno evoluiu além do e-mail. Com a proliferação de smartphones e tablets, os invasores agora vão muito além do e-mail. Eles agora também estão usando outras plataformas, como mensagens de texto, aplicativos de mensagens como Signal e WhatsApp e aplicativos de mídia social para atacar e comprometer seus alvos. Considerando os inúmeros aplicativos SaaS que os funcionários usam todos os dias, um único ataque de phishing bem-sucedido pode impactar toda a organização. A nuvem facilitou a produtividade, mas também aumentou o impacto do phishing.
O que é Compromisso de E-mail Comercial, BEC?
Nos ataques BEC tradicionais, o invasor compra ou coleta listas de contatos contendo nomes, endereços de e-mail e números de telefone de CFOs, equipes financeiras e fornecedores. Uma mensagem direcionada é enviada representando um executivo sênior (geralmente o CEO) e contendo uma solicitação de pagamento urgente, por exemplo, B. deve ser feito para um projeto de tempo crítico. Os invasores geralmente enviam dezenas de milhares de mensagens de phishing por ano e, se apenas uma pessoa morder a isca, isso pode resultar em enormes perdas para a empresa.
No entanto, o BEC se desenvolveu muito além desses parâmetros clássicos. À medida que os ataques se tornam mais populares, as organizações precisam evoluir suas defesas. Como em qualquer ataque de phishing, a conscientização e a educação são o primeiro passo na prevenção, mas certamente não são os únicos.
Pense além do e-mail para evitar riscos de phishing
Os dispositivos móveis representam um desafio maior para os alvos de phishing, pois o treinamento em segurança cibernética geralmente não aborda os dispositivos móveis. Os cursos de treinamento de phishing geralmente pedem aos usuários que procurem indicadores que só podem ser vistos em um computador desktop. Infelizmente, muitos aplicativos de e-mail móvel não exibem o endereço de e-mail do remetente e limitam a capacidade de visualizar hiperlinks para sites potencialmente falsos.
Para agravar o problema, as empresas dependem de comunicações móveis em todos os momentos do dia, especialmente agora que a maioria dos usuários está trabalhando remotamente. Os executivos que se comunicam com suas equipes por e-mail móvel ou aplicativos de mensagens esperam atenção imediata, o que leva os funcionários a cair em golpes de phishing.
Além disso, existem mais canais pelos quais os invasores podem espalhar seus golpes pelo celular. Muitos usuários não esperam que links de phishing sejam entregues por meio de plataformas como mensagens SMS, Facebook Messenger, WhatsApp ou Signal, mas está se tornando cada vez mais comum. O FBI até emitiu um anúncio de serviço públicoque os invasores agora estão usando plataformas de reunião virtual para realizar golpes de BEC.
O phishing moderno é a porta de entrada para as empresas
Os dispositivos móveis não são apenas muito mais fáceis para phishing, mas também têm acesso aos aplicativos e dados com os quais as empresas se preocupam. Como os usuários podem trabalhar de qualquer lugar, seja um smartphone ou tablet, eles dependem cada vez mais desses dispositivos. Qualquer erro que eles cometam nesses dispositivos, mesmo que sejam gerenciados pelo departamento de TI, representa riscos que podem comprometer a infraestrutura.
Não existe uma abordagem única para prevenir BEC e phishing na experiência da Lookout, mas um bom ponto de partida é reconhecer que os ataques de phishing não se limitam a e-mail. Qualquer estratégia que se concentre apenas no e-mail ignora os métodos usados para atacar os usuários móveis. Também requer uma abordagem de plataforma unificada que proteja todos os endpoints, incluindo dispositivos móveis, contra ameaças baseadas na web.
Mais em Lookout.com
Sobre o Mirante Os cofundadores da Lookout, John Hering, Kevin Mahaffey e James Burgess, se uniram em 2007 com o objetivo de proteger as pessoas dos riscos de segurança e privacidade impostos por um mundo cada vez mais conectado. Mesmo antes de os smartphones estarem no bolso de todos, eles perceberam que a mobilidade teria um impacto profundo na maneira como trabalhamos e vivemos.