Pressionar uma tecla poderia te custar 200 mil dólares? Isso aconteceu com uma pessoa que estava comprando um imóvel e não percebeu um erro de ortografia no endereço de e-mail fraudulento.
Podemos chamar esse caso de “o erro de digitação de 200 mil dólares”.
O cibercriminoso criou um endereço de e-mail que se diferenciava do verdadeiro usado pela imobiliária por uma só letra. O fraudador então enviou um e-mail ao comprador usando esse endereço de e-mail similar exemplo@ABCtltle.com, ao invés do legítimo exemplo@ABCtitle.com. (Percebeu a pequena diferença na palavra “title”?) Acostumado a receber e-mails da empresa “title”, o cliente seguiu as instruções no e-mail e fez o depósito de dinheiro de uma casa para o criminoso.
“O dinheiro foi rapidamente encaminhado para fora do país, antes que a vítima percebesse e antes que ela pudesse denunciar o caso para nós”, diz Kelsey Harris, agente especial do FBI. “A perda nesse incidente foi por volta de US$ 200.000”.
Você ia perceber este erro de digitação? Muitas pessoas não percebem. Em 2018, o FBI recebeu 20.373 denúncias de comprometimento de e-mail pelos criminosos com prejuízo de mais de US$ 1,2 bilhão, tornando essa a forma mais cara de crime cibernético. Como aconteceu neste caso, muitas vezes, o golpe é realizado quando um criminoso compromete contas de e-mail comerciais legítimas e depois envia e-mails para consumidores ou empresas, para roubar dinheiro ou dados. Os e-mails comerciais comprometidos são usados para cometer crimes, às vezes em grande escala.
Uma gangue de fraudadores chineses recentemente roubou US$ 18,6 milhões de uma empresa italiana ao convencer gerentes locais na Índia de que o dinheiro era necessário para uma aquisição, de acordo com a polícia indiana citada no Times of India. Em outro caso, um grupo de golpistas online gerou uma lista de 50.000 executivos de alto escalão que seriam potenciais vítimas de golpe, informou a ZDNet.
O agente especial Harris disse que a fraude por e-mail foi o crime cibernético mais caro dos últimos anos reportado ao Centro de Reclamações contra Crimes pela Internet do FBI. A maioria dos criminosos nesses casos está fora dos EUA, disse ela. “Os criminosos empregam mulas de dinheiro aqui nos EUA para abrir contas bancárias e receber transações fraudulentas. As mulas então transferem os fundos para os criminosos”.
O que os consumidores podem fazer
Nos casos parecidos com o de erro de digitação, o FBI pede aos consumidores para observar atentamente os endereços de e-mail e todas as partes de um e-mail suspeito. “Não olhe apenas para o título de um e-mail e não julgue pela aparência”, diz Harris. “Verifique bem o endereço de e-mail.” Até um e-mail que parece pedir legitimamente que você efetue um pagamento pode ser um golpe. É bom ligar para empresa usando o número de telefone de uma conta anterior ou de seu website, para verificar o conteúdo do e-mail. Se você acha que pode ter sido vítima de um esquema de fraude, também pode fazer um boletim de ocorrência na delegacia especializada de sua cidade.
O que as empresas podem fazer
O FBI sugere que as empresas sigam estas sugestões:
- Crie regras do sistema de detecção de invasões que sinalizam e-mails com extensões semelhantes aos e-mails da empresa. Por exemplo, e-mails legítimos de abc_company.com sinalizariam e-mails fraudulentos de abc-company.com.
- Crie uma regra de e-mail para sinalizar as comunicações por e-mail em que o endereço de e-mail de “resposta” é diferente do endereço de e-mail “de” exibido.
- Confirme as solicitações de transferência de fundos usando a verificação por telefone como parte de uma autenticação de dois fatores. Use números previamente conhecidos, não os números fornecidos na solicitação de e-mail.
- Analise cuidadosamente todas as solicitações de transferência de fundos por e-mail, para determinar se as solicitações estão fora do comum.
“Quanto mais recursos as empresas investem em segurança de TI, melhor para elas”, disse Harris.
Os produtos premium do Avast para consumidores e empresas filtram e-mails recebidos e enviados para separar o spam e os vírus, enquanto as mensagens limpas são indexadas e criptografadas. E-mails que são enviados descriptografados podem ser criptografados, redirecionados ou bloqueados automaticamente, se não cumprirem a política de criptografia da empresa. Saiba mais aqui.