Dois clubes de futebol internacionais foram vítimas de cibercriminosos e perderam um pouco mais de 500 mil euros em uma transação que envolveu duas empresas mexicanas que utilizou técnicas de engenharia social. Este tipo de golpe reforça a importância da segurança digital para as empresas, bem como o treinamento de funcionários.
No início deste ano, o meio-campista Leandro Paredes, que jogou pelo Zenit da Rússia, foi transferido para o Paris Saint-Germain (PSG) em uma negociação de 40 milhões de euros. De acordo com as regras da FIFA, o Boca Juniors, clube que formou o jogador, teve o direito de receber uma porcentagem da venda – aproximadamente 3,5% ou cerca de 1,3 milhão.
O PSG e o Boca Juniors concordaram em dividir o pagamento em três parcelas, sendo a primeira marcada para 6 de março. Porém, o clube argentino nunca recebeu o pagamento de quase 520 mil euros que o clube francês disse ter enviado.
A bolada foi para qual lado do campo?
Como o dinheiro não estava disponível na conta PSG, foi realizada uma investigação nas trocas de correspondências e documentos que o clube enviou como prova de que o pagamento tinha sido feito. Em um dos documentos que confirmavam a transferência, eles descobriram que os e-mails supostamente enviados pelo Boca Juniors apresentavam pequenas modificações imperceptíveis a olho nu. Segundo um jornal argentino e que teve acesso aos documentos relacionados ao caso, uma única letra diferenciava o endereço do e-mail fraudulento do legítimo. Naturalmente, as instruções que vieram desses endereços fictícios continham dados falsos.
Depois de analisar os documentos, o Boca Juniors descobriu que o dinheiro tinha passado primeiro por uma conta bancária de Nova York que pertencia a uma empresa mexicana chamada Vector Casa de Bolsa. Depois, foi enviado para uma conta bancária no México, da empresa OM. Soluções de TI SA de C.V. As empresas são desconhecidas pelo clube de futebol.
“Fraudes financeiras como essa mostram o planejamento dos cibercriminosos. A engenharia social envolve uma série de técnicas, como phishing e BEC (Business E-mail Compromise), que parecem vir de entidades legítimas para obter informações confidenciais de suas vítimas ou para convencê-las a realizar algum tipo de ação que comprometa seu sistema”, diz Fabio Assolini, analista sênior de segurança da Kaspersky. “As consequências de tais ataques podem variar desde a perda de dinheiro até o comprometimento de toda uma rede corporativa. É por isso que é essencial que as empresas reforcem suas medidas de segurança e treinem seus funcionários para que eles estejam familiarizados com esse tipo de tática e possam, assim, identificar e evitar tal situação“, finaliza.
No final de 2018, a Kaspersky bloqueou mais de 70 milhões de ataques de phishing na América Latina entre novembro de 2017 e novembro de 2018; o número médio de ataques diários foi de 192 mil, o que representa um crescimento de 115% em relação ao período anterior (novembro/2016 a novembro/2017). O ranking dos países mais atacados por phishing mudou no ano passado: o Brasil perdeu a liderança e está agora em terceiro lugar, com um aumento de 110%. O México (120%) ocupa a primeira posição e a Colômbia (118%) o segundo lugar.
De acordo com o mesmo estudo, o setor financeiro foi particularmente afetado: mais de 44% de todos os ataques de phishing detectados pela Kaspersky foram direcionados para bancos, sistemas de pagamento e lojas online. Isso significa que houve quase tantos ataques financeiros de phishing em 2018 quanto ataques de phishing em geral em 2017.
Durante o primeiro trimestre de 2019, o sistema anti-phishing da Kaspersky bloqueou 111.832.308 tentativas de levar o usuário a sites fraudulentos. A proporção de usuários únicos atacados foi de 12,11% do número total de usuários dos produtos da empresa no mundo.
Como não cair neste tipo de golpe
A Kaspersky sugere que as empresas estejam atentas às vulnerabilidades e aos tipos de situações que os cibercriminosos costumam aproveitar para realizar um golpe. Por isso, fornecer proteção e ter comunicação com os funcionários sobre os diferentes perigos online, é a principal recomendação.
O programa Kaspersky Cybersecurity Training ajuda a conscientizar os funcionários sobre as ameaças da rede. Ou seja, não apenas informa sobre ameaças existentes, mas também oferece as habilidades necessárias para lidar com métodos de engenharia social.
Além disso, é recomendável que as empresas usem soluções de segurança com funcionalidades dedicadas para detectar e bloquear phishing, anexos maliciosos e spam. As empresas podem proteger seus sistemas de e-mail locais com aplicativos específicos que fazem parte do Kaspersky Endpoint Security for Business.
Para obter mais informações sobre spam e phishing durante o primeiro trimestre de 2019, visitehttps://securelist.com/spam-and-phishing-in-q1-2019/90795/.
<kasperskybrasil@jeffreygroup.com>