85OPINIÃO
CONTEÚDO PROMOCIONALFRAUDE
EM TEMPO
DE PANDEMIA
N
os últimos anos os esforços na segurança da in-
formação têm-se centrado maioritariamente em
soluções tecnológicas (firewall, antivírus, etc.). E
as PME, em particular, têm sido um bom exemplo deste
tipo de estratégia para mitigar potenciais ciberataques.
Como resposta, os criminosos optam frequentemente por
alternativas mais fáceis e rentáveis de executar, como é
o caso dos ataques de engenharia social.
No seu relatório sobre o estado do crime organizado
na Internet¹, a Europol refere que “em muitos casos,
o COVID-19 causou uma amplificação de problemas
existentes exacerbados por um aumento significativo
no número de pessoas a trabalhar a partir de casa”.
Também este tipo de fraude, não sendo nova, cresceu
de forma significativa nos últimos meses.
Estes ataques contornam as defesas tecnológicas e
focam-se nas falhas humanas mais comuns, não re-
querendo elevados conhecimentos de tecnologia. Em
vez disso usam uma grande capacidade de engenharia
social e seguem uma metodologia bastante simples.O ataque
Escolher a vítima
Embora os executivos sejam um alvo apetecível, as
vítimas podem ter funções que facilitam a fraude -
por exemplo, alguém responsável pelos pagamentos
a fornecedores. A identificação da vítima vem maio-
ritariamente através de fontes de informação abertas
(OSINT), como redes sociais, contratos públicos, etc.Obter credenciais de acesso
Identificada a vítima é necessário aceder à sua conta- obtendo o respetivo login e password através de cre-
denciais expostas no passado, ou enviando um simples
email de Phishing.
Intercetar uma conversa
Com acesso à conta da vítima, o criminoso pode es-
colher uma conversa para consumar a fraude, como
um pagamento pendente de fazer a um fornecedor.Manter a conversa
De forma a não levantar suspeitas é importante que o
criminoso continue a atuar como “man-in-the-mid-
dle” na conversação entre o fornecedor e cliente. Este
passo é normalmente executado com recurso à criação
de domínios semelhantes das duas organizações.Fornecer dados falsos para a transferência
Com o controlo da conversação torna-se fácil ao crimi-
noso pedir ao cliente que execute o pagamento pendente
para um IBAN diferente.A defesa
Na Claranet temos visto este tipo de ataques envolvendo
valores que chegam aos milhões de euros, causando
não só danos financeiros, mas também reputacionais
(que podem levar a mais danos financeiros).
Sendo um ataque fácil de executar e com um retorno
rápido para os criminosos, não é de estranhar que
assistamos ao seu crescimento. O que podem então
fazer as organizações para se proteger?Entre outros, existem três passos fundamentais:
Formação de cibersegurança
Através de formação e simulações de ataques é possível
aumentar a capacidade de os colaboradores detetarem
precocemente estas fraudes num estado inicial.Definição de processos
Se a estratégia de segurança deve ter em conta os ob-
jetivos do negócio, também os processos de negócio
devem contemplar a segurança. No caso da fraude aqui
descrita, a troca de IBAN não deveria ser feita por email.Monitorizar anomalias
Após estabelecer uma baseline de comportamento é
importante monitorizar desvios a essa baseline, pois
podem revelar indícios que levam à deteção de fraude. Há
também que proteger os ativos digitais das organizações,
como os seus domínios, pois a criação de um domínio
semelhante poderá revelar uma tentativa de fraude.Naturalmente não existem medidas perfeitas, mas com
pequenas alterações é possível aumentar significati-
vamente a capacidade de deteção destas fraudes e a
postura de segurança das organizações.ANTÓNIO RIBEIRO
CYBERSECURITY MANAGER DA CLARANET PORTUGAL(^1) http://www.europol.europa.eu/activities-services/main-reports/
internet-organised-crime-threat-assessment-iocta-2020