XL usa duas formas de cookies neste site:

  1. para permitir que o site funcione e memorize suas preferências; e
  2. para estatísticas que tornam o site mais relevante e fácil de usar.

Esses cookies não armazenam informações pessoais. Para mais informações sobre o uso de cookies em nosso site, por favor clique aqui. De acordo com a legislação da União Europeia, você deve consentir com o uso de cookies.

Ao usar este site, você concorda com a instalação de cookies em seu aparelho. Se você optar por mudar suas configurações de cookies, você verá esta mesma mensagem em sua próxima visita.

Fast Fast Forward

O Engenheiro Social

Por

Uma fatura chega todos os meses com o mesmo valor. A única diferença é que, nesse mês, o gerente de contas da sua empresa recebe a fatura junto com uma nota do fornecedor destacando novos procedimentos de pagamento. O gerente de contas paga a fatura para a nova conta bancária do fornecedor.

Um mês depois, o fornecedor envia um aviso de atraso. O motivo: o pagamento nunca foi recebido. Depois de uma ligação, o gerente de contas percebe que o pagamento de $10.000 foi desviado para a conta bancária de um ladrão.

É assim que fraudes de engenharia social funcionam. Conforme as empresas e os departamentos de TI ficam mais sofisticados para reconhecer esquemas, os fraudadores estão se atualizando. Cada vez mais, eles estão empregando táticas de engenharia social para atingir suas vítimas potenciais. Segundo estimativas, 43% das violações documentadas em 2017 foram atribuídas a alguma forma de ataque de engenharia social. Com projeções indicando que 75% da população mundial sejam formadas por usuários de internet até 2021, os hackers terão muitas oportunidades.

Essas oportunidades vêm com um alto custo para as empresas – estima-se que, anualmente, os danos vinculados a crimes cibernéticos serão de $6 trilhões até 2021. O custo médio de uma violação em 2017 ficou entre $1,1 e 3,8 milhões.

Quando se trata de focar em empresas, os fraudadores não discriminam ninguém. Nenhum setor está imune e, embora o tipo de ataque varie, a maioria dos setores é atacada com a mesma força. Bancos, empresas de saúde, companhias de software e, até mesmo, prefeituras têm sido alvo. O objetivo é o mesmo - ganhar acesso a sistemas ou informações das empresas para ganho financeiro.


O Imitador

Há vários métodos pelos quais fraudadores utilizam engenharia social para operar. No passado, ataques do tipo phishing envolviam um endereço de e-mail aleatório; hoje, os ladrões estão encontrando maneiras de entrar em sistemas de e-mail e enviar solicitações a partir deles. Para o destinatário, essas solicitações parecem legítimas, e há pouca evidência à mostra para indicar uma fraude. Da parte do remetente, os usuários raramente sabem que algo está errado - quando estão no sistema de e-mails, os fraudadores podem implementar regras na caixa de entrada do usuário que redirecionam respostas.

Já na conta do usuário de e-mail, os criminosos podem copiar e forjar modelos de faturas, redirecionando fundos dos fornecedores para si próprios. Em um caso, um funcionário recebeu um aviso falso da conta de e-mail de um fornecedor. O fornecedor explicou que a companhia tinha mudado e agora precisava que os pagamentos fossem automaticamente depositados em uma conta bancária diferente. A fatura que acompanhava a solicitação era idêntica à fatura que era recebida normalmente. Assim, uma transferência bancária de $500.000 foi feita sem qualquer suspeita.

Contudo, nem todos os criminosos buscam pagamento expressivos. Embora eles possam redirecionar pagamentos grandes, os fraudadores frequentemente estão atrás de pequenos incrementos - normalmente abaixo de $1.000, já que eles não exigem aprovação especial. Uma fatura fraudulenta enviada para o departamento contábil de um usuário no valor de $900, sem o conhecimento do usuário, pode passar facilmente sem ser detectada pela equipe de contabilidade.

Embora o valor pareça pequeno, multiplicado por 100 empresas, o pagamento é significativo. Estes esquemas de falsificação de faturas estão gerando um pagamento elevado aos criminosos. Contas de serviços (luz, água, etc), em especial, tendem a ser alvo de cibercriminosos, porque a cobrança mensal raramente é vista como uma tentativa de falsificação.


Estratégias de Prevenção

Embora os cibercriminosos estejam se tornando mais sofisticados em suas táticas de engenharia social, as empresas estão começando a tomar medidas para criar bloqueios contra os fraudadores. Alguns dos processos de prevenção que estão sendo desenvolvidos incluem:

Processos de verificação: um processo com várias pessoas e etapas para confirmar quaisquer mudanças ou alterações em pagamentos ou faturas pode frustrar as tentativas de redirecionar pagamentos. As empresas podem designar uma pessoa de contato tanto do lado do fornecedor quanto do usuário, além de alguém dentro da instituição financeira que normalmente executa transferências bancárias.
Contudo, fraudadores cibernéticos estão se tornando aptos a falsificarem até mesmo o processo de verificação. O processo de verificação de uma companhia incluía uma ligação do banco para verificar que as informações solicitadas tinham vindo deles - os ladrões, se passando por funcionários do banco, ligaram para a empresa.

Conhecimento do sistema bancário: entender como o sistema antifraude do seu banco funciona. A maioria das instituições financeiras tem seus próprios processos para deter crimes cibernéticos. Eduque os funcionários sobre estes processos e como identificar anomalias.

Alertas de phishing em sistemas de e-mail: um complemento para e-mails que permite a fácil geração de relatórios de e-mails suspeitos. O departamento de TI pode, então, analisar o e-mail, reduzindo o risco de responder a um e-mail falso.

Os funcionários devem ser treinados sobre o que procurar - erros de gramática ou de ortografia, falta de informações ou informações incorretas, pequenas mudanças nos modelos de fatura, endereços de e-mail incorretos associados ao nome do usuário ou diferenças na assinatura ou uso da linguagem por parte do usuário. No departamento contábil, em especial, os funcionários devem ser ensinados a serem bastante céticos com quem telefona. Deve existir um processo de verificação para todos os fornecedores e bancos, de modo a garantir que a ligação é legítima.

Intervenção precoce: como responder quando há uma violação. Em qualquer tipo de incidente cibernético suspeito, os funcionários devem ser educados sobre quem e quando envolver alguém. Se um funcionário foi vítima de uma tentativa de violação, o fato deve ser reportado o mais rápido possível. Tenha um processo de resposta a violações para reportar e responder, incluindo chamar o departamento de TI e alertar as instituições financeiras.


Prós e Contras da Cobertura

Do ponto de vista da cobertura, a engenharia social está causando diversos problemas. A maioria das apólices cibernéticas cobre os seguintes detalhes: investigações forenses, assessoria de privacidade de dados e quaisquer investigações relacionadas exigidas por lei. O que elas não cobrem: a perda monetária.

Sem uma apólice criminal, a maioria das companhias não conseguirá recuperar a perda financeira. O gatilho para uma apólice criminal varia, dependendo da linguagem da apólice, mas, geralmente, perda monetária por engenharia social pode ser coberta. Contudo, sem ambas as apólices, ou sem uma apólice que endossa cibercrimes, as companhias podem ficar sem nenhum recurso para recuperar os fundos roubados.

Algumas seguradoras estão respondendo a esta falha de cobertura com endossos que cobrem um certo valor de fundos transferidos ilegalmente. Contudo, se qualificar para estes endossos pode ser difícil. Os clientes podem ter de provar que aplicaram um processo de verificação para receber o pagamento. Muitas vezes, mesmo com o endosso, se o segurado não passou pelo processo de verificação ou não consegue provar, a cobertura não será acionada. Além disto, os gatilhos da cobertura podem aplicar somente a funcionários autorizados para tomar decisões sobre transferências de dinheiro ou valores mobiliários - e não a todos os funcionários.

Quando buscar proteção de seguros contra fraudes de engenharia social, certifique-se de que qualquer apólice ou endosso cubra a perda de receita da empresa, despesas adicionais, despesas de recuperação de dados, despesas de extorsão cibernética, custos de gestão de crise e resposta a violações de dados e perdas de fraudes financeiras por engenharia social.

Conforme cresce o número de fraudes sofisticadas de engenharia social, as empresas devem ficar alertas sobre como suas próprias práticas podem deixá-las vulneráveis a ataques. Saber como cibercriminosos estão violando os sistemas é o primeiro passo. Depois, as empresas precisam estabelecer processos de verificação robustos, educar os funcionários sobre os processos e gerenciar de forma ativa a prevenção de tentativas de engenharia social. Conforme os ladrões se tornam mais sofisticados em seus ataques, ter a cobertura correta e os procedimentos adequados pode ajudar a reduzir o risco de perdas.


Sobre a autora...
Perla Alvarez é especialista em sinistros na equipe de seguros Cibernético e Tecnologia da XL Catlin. Ela pode ser contatada por e-mail (perla.alvarez@xlcatlin.com) ou telefone (1 212 915 6826).

© 2018 AXA SA or its affiliates
AXA XL is the P&C and specialty risk division of AXA.