Um email falso e US$17 milhões transferidos para a China

por

O controller da empresa recebe um email do CEO solicitando a transferência de um valor para uma conta na China. O resultado foi 17 milhões de dólares transferidos para uma quadrilha. E na sua empresa, o que aconteceria?

O caso revelado nesta semana aconteceu em agosto de 2014 com a Scoular Co., uma empresa de comercialização de commodities com mais de 120 anos de mercado e 800 funcionários.

A troca de emails entre o controller e o CEO continha alguns elementos de verdade, o que levaram ao controller a acreditar que a solicitação era legítima.  A Scoular estava de fato se expandindo para a China, e a troca envolveu informações de um contato de uma suposta empresa chinesa que estaria participando do projeto. A ligação ajudou a dar credibilidade, e o resultado foram 3 transferências totalizando US$17,2 milhões. O CEO que teve sua identidade forjada reconhece que será difícil para a empresa reaver este valor.

Com a nossa experiência na Leverage, onde realizamos em clientes corporativos treinamentos de conscientização de segurança que incluem emails de phishing simulados, observamos que a taxa de sucesso pré-treinamento dos emails de phishing genéricos é de cerca de 12%. Emails com contexto e direcionados para um alvo específico da organização (spear phishing) tem taxas de sucesso muito maiores. E os resultados independem do nível hierárquico ou formação do colaborador; sem treinamento focado em conscientização de segurança, qualquer um pode ser alvo.

O caso da Scoular é um exemplo extremo de engenharia social, mas mesmo ataques mais comuns como a instalação de malware nos equipamentos corporativos pode gerar um grande impacto. Felizmente para a Scoular, as suas receitas anuais de 6 bilhões de dólares dão espaço para a absorção do prejuízo. E ela afirma ter agora aprimorado seus processos internos.

Que tal antecipar-se a estes problemas e investir no treinamento para que seus colaboradores detectem e reportem tentativas de phishing ou engenharia social? Sai bem mais barato do que remediar um incidente!

 

André Mazeron, CISSP
Sócio-Diretor da Leverage Informática

Categoria : Ataques, Conscientização de Segurança, Other News, Phishing
Tags : , , , , ,