Os pesquisadores da Check Point descobriram que o grupo de cibercriminosos conhecido como “The Florentine Banker” roubaram US$ 1,3 milhão em transações realizadas por três empresas britânicas de fundos de capital privado.
Durante meses, este grupo de hackers teve como principal objetivo manipular o e-mail (BEC -Business e-Mail Compromise), registar domínios similares e coletar diretamente quatro transações bancárias das quais tentaram transferir dinheiro para contas bancárias não reconhecidas.
A Check Point, a partir de uma ágil operação de emergência, permitiu a recuperação de £570 mil (um pouco mais de US$ 700 mil), embora o restante permaneça como uma perda permanente de fundos. Além disto, a empresa alerta que, levando em conta o número de domínios registrados, os cibercriminosos têm ainda mais alvos em seu radar.
No caso do roubo aos fundos de capital privado britânicos, os cibercriminosos utilizaram um total de sete diferentes domínios. Após uma análise minuciosa, a Check Point descobriu outros 39 domínios similares registados, entre os anos de 2018 e 2020, que foram utilizados para fazer com que se passassem por empresas legítimas. Os gráficos a seguir mostram os principais objetivos deste grupo por país e setor de atividade:
“As transferências eletrônicas são muito frequentes, mas, atualmente, muito mais em consequência dos pacotes de ajuda econômica para cidadãos e empresas que os governos de muitos países estabeleceram nesse período”, diz Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point. “Em razão disto, a Check Point alerta para uma especial atenção a todas as comunicações que entram ou saem por e-mail, uma vez que este grupo de cibercriminosos pode estar por trás dessas atividades”, adverte Finkelsteen.
Como opera o grupo “The Florentine Banker”
Até o momento, os pesquisadores da Check Point ainda analisam essas atividades para determinar com exatidão a origem deste grupo de cibercriminosos. Mesmo tendo algumas pistas, já que só interceptavam e modificavam conversas e transações em inglês, o grupo somente operava de segunda-feira à sexta-feira, e as contas bancárias fraudulentas utilizadas estavam localizadas em Hong Kong e no Reino Unido. Por outro lado, a equipe de pesquisadores conseguiu estudar o método de atuação do “The Florentine Banker”.
Após selecionar um alvo, este grupo iniciava o seu ataque por meio de uma campanha de phishing dirigida contra os responsáveis pela realização de transações econômicas, como diretores executivos e financeiros, dentro da empresa que será vítima de roubo, com o objetivo de obter as credenciais. Para isso, os cibercriminosos começavam a direcionar esses e-mails somente a dois destinatários, mas progressivamente iam aumentando o número de alvos e variando as técnicas para obter uma visão abrangente de todo o panorama financeiro da empresa. Após isso, inicia-se a segunda etapa do ataque, que conta com cinco passos:
1) Vigilância: primeiro obtêm controle da conta de e-mail da vítima, monitoram todas as suas comunicações durante semanas ou meses para decifrar os procedimentos do negócio.
2) Controle e isolamento: o passo seguinte dos atacantes é isolar a vítima de terceiros e dos seus próprios colegas de trabalho, criando regras de spam maliciosas com o objetivo de desviar qualquer e-mail para uma pasta sob sua supervisão por meio de ataques Man-in-the-Middle.
3) Atividade em paralelo: os atacantes registam domínios com uma aparência visual similar aos sites originais das entidades envolvidas na correspondência de e-mail interceptado. Em seguida, começam a enviar mensagens a partir destes novos domínios para estabelecer ou manter uma conversação já existente, fazendo a vítima acreditar que a fonte é confiável.
4) Solicitar o dinheiro: começam a infiltrar informação de contas bancárias fraudulentas via duas técnicas: interceptando transferências legítimas ou criando novos pedidos.
5) Transferência de dinheiro: continuam a manipular a conversa até que a vítima aprove os novos dados bancários e confirme a transação. Se o banco não aceitar a transação por algum motivo, os atacantes podem resolver esses detalhes para conseguir o dinheiro.
Como as empresas devem se proteger
Os especialistas da Check Point apontam para o BEC (Business e-Mail, o tipo de ciberataque usado pelo “The Florentine Banker”) como um dos maiores riscos às empresas. De fato, o e-mail é o vetor de ataque mais usado pelos cibercriminosos, enquanto os e-mails de phishing, que induzem os usuários a clicar num link/arquivo malicioso ou compartilhar as suas senhas, são a principal ameaça. Por este motivo, a seguir estão listadas algumas dicas para garantir a segurança:
1) Incorporar mais segurança ao e-mail: É necessário que as organizações incorporem sempre uma solução de segurança ao e-mail, desenvolvida para prevenir estes ataques automaticamente utilizando mecanismos de segurança que se atualizam continuamente.
2) Educar os seus colaboradores: prover os colaboradores de conhecimentos básicos em cibersegurança implica em contar com um maior nível de segurança.
3) Incluir sistemas de dupla autenticação: por se tratar de transferências eletrônicas, é fundamental implementar um modelo de dupla autenticação (código SMS, chamada telefônica ao responsável da conta, entre outros) para evitar perdas por roubo de identidade.
4) Comunicar clientes e parceiros: em caso de sofrer algum ataque deste tipo, informar imediatamente aos clientes e parceiros para se evitar problemas maiores. Atrasar estas comunicações beneficia o atacante.
