85
OPINIÃO
CONTEÚDO PROMOCIONAL
FRAUDE
EM TEMPO
DE PANDEMIA
N
os últimos anos os esforços na segurança da in-
formação têm-se centrado maioritariamente em
soluções tecnológicas (firewall, antivírus, etc.). E
as PME, em particular, têm sido um bom exemplo deste
tipo de estratégia para mitigar potenciais ciberataques.
Como resposta, os criminosos optam frequentemente por
alternativas mais fáceis e rentáveis de executar, como é
o caso dos ataques de engenharia social.
No seu relatório sobre o estado do crime organizado
na Internet¹, a Europol refere que “em muitos casos,
o COVID-19 causou uma amplificação de problemas
existentes exacerbados por um aumento significativo
no número de pessoas a trabalhar a partir de casa”.
Também este tipo de fraude, não sendo nova, cresceu
de forma significativa nos últimos meses.
Estes ataques contornam as defesas tecnológicas e
focam-se nas falhas humanas mais comuns, não re-
querendo elevados conhecimentos de tecnologia. Em
vez disso usam uma grande capacidade de engenharia
social e seguem uma metodologia bastante simples.
O ataque
Escolher a vítima
Embora os executivos sejam um alvo apetecível, as
vítimas podem ter funções que facilitam a fraude -
por exemplo, alguém responsável pelos pagamentos
a fornecedores. A identificação da vítima vem maio-
ritariamente através de fontes de informação abertas
(OSINT), como redes sociais, contratos públicos, etc.
Obter credenciais de acesso
Identificada a vítima é necessário aceder à sua conta
- obtendo o respetivo login e password através de cre-
denciais expostas no passado, ou enviando um simples
email de Phishing.
Intercetar uma conversa
Com acesso à conta da vítima, o criminoso pode es-
colher uma conversa para consumar a fraude, como
um pagamento pendente de fazer a um fornecedor.
Manter a conversa
De forma a não levantar suspeitas é importante que o
criminoso continue a atuar como “man-in-the-mid-
dle” na conversação entre o fornecedor e cliente. Este
passo é normalmente executado com recurso à criação
de domínios semelhantes das duas organizações.
Fornecer dados falsos para a transferência
Com o controlo da conversação torna-se fácil ao crimi-
noso pedir ao cliente que execute o pagamento pendente
para um IBAN diferente.
A defesa
Na Claranet temos visto este tipo de ataques envolvendo
valores que chegam aos milhões de euros, causando
não só danos financeiros, mas também reputacionais
(que podem levar a mais danos financeiros).
Sendo um ataque fácil de executar e com um retorno
rápido para os criminosos, não é de estranhar que
assistamos ao seu crescimento. O que podem então
fazer as organizações para se proteger?
Entre outros, existem três passos fundamentais:
Formação de cibersegurança
Através de formação e simulações de ataques é possível
aumentar a capacidade de os colaboradores detetarem
precocemente estas fraudes num estado inicial.
Definição de processos
Se a estratégia de segurança deve ter em conta os ob-
jetivos do negócio, também os processos de negócio
devem contemplar a segurança. No caso da fraude aqui
descrita, a troca de IBAN não deveria ser feita por email.
Monitorizar anomalias
Após estabelecer uma baseline de comportamento é
importante monitorizar desvios a essa baseline, pois
podem revelar indícios que levam à deteção de fraude. Há
também que proteger os ativos digitais das organizações,
como os seus domínios, pois a criação de um domínio
semelhante poderá revelar uma tentativa de fraude.
Naturalmente não existem medidas perfeitas, mas com
pequenas alterações é possível aumentar significati-
vamente a capacidade de deteção destas fraudes e a
postura de segurança das organizações.
ANTÓNIO RIBEIRO
CYBERSECURITY MANAGER DA CLARANET PORTUGAL
(^1) http://www.europol.europa.eu/activities-services/main-reports/
internet-organised-crime-threat-assessment-iocta-2020