O Tribunal do Distrito Leste do Estado da Virgínia, nos Estados Unidos, acatou acusação contra três homens por lavagem de dinheiro e roubo de identidade, agravada por supostamente conduzirem um esquema de comprometimento de e-mail comercial (BEC).
Os golpes de BEC usam várias táticas — incluindo engenharia social, malware, hacking e phishing — para comprometer ou personificar contas de e-mail comercial com o objetivo de redirecionar pagamentos pendentes ou futuros para contas bancárias sob o controle de um fraudador.
Os acusados são Onyewuchi Ibeh, 21, Jason Joyner, 42, e Mouaaz Elkhebri, 30. A acusação alega que os três se infiltraram nas redes corporativas de pequenas e grandes empresas nos Estados Unidos e em todo o mundo, entre janeiro de 2018 e março de 2020. Eles acessavam servidores e contas de e-mail por meio da obtenção de credenciais de funcionários usando phishing e malware. Em seguida, passavam meses interceptando comunicações e aprendendo sobre sistemas de faturamento, estilo de comunicação, fornecedores, clientes, pessoas responsáveis por transações, etc.
Quando chegou o momento certo, os golpistas enviaram e-mails falsos para os clientes, apresentando uma solicitação de pagamento que simulava uma transação real. Usando todos os procedimentos de uma transação real, como informações completas de faturamento, os golpistas conseguiram desviar o pagamento para suas próprias contas bancárias.
Um dos exemplos de casos que consta da acusação, visto pelo site Bleeping Computer, é de uma transação no valor de US$ 356.954. A solicitação de pagamento foi enviada para uma vítima em Boston que pensou tratar-se da conta bancária de um parceiro de negócios. Os golpistas registraram um domínio que era exatamente igual ao do parceiro da vítima, exceto por um caractere incorreto (typo-squatting). Eles usaram o domínio para comunicação direta com a vítima, imitando o endereço de e-mail do parceiro real.
No total, os investigadores descobriram que o golpe de BEC foi usado contra ao menos cinco vítimas, das quais foram subtraídos US $ 1,1 milhão.
Veja isso
Perdas com ataques de BEC em transferências bancárias sobem 48%
Perda das empresas nos EUA com phishing chega a US$ 15 mi
A acusação diz que cada um teve papel distinto no esquema de BEC. Ibeh administrava a lavagem de dinheiro e transferia o dinheiro para os outros dois. Elkhebri, quer foi funcionário do Bank of America e do TD Bank entre 2015 e 2018, era responsável pela abertura das contas bancárias em nome de seus comparsas e das vítimas. Ele também falsificou lançamentos bancários. Já Joyner sacava o dinheiro roubado em caixas eletrônicos e enviava para os demais.
O Bank of America disse que produziu registros pessoais para Elkhebri, que trabalhou como correspondente bancário e gerente de relacionamento da instituição financeira de 2015 até 2017. Durante seu tempo no Bank of America, Elkhebri abriu várias contas para o esquema de fraude, incluindo uma conta que o auxiliou na promoção do esquema.
Já o TD Bank disse que também produziu registros pessoais sobre Elkhebri, que trabalhou no banco de 2017 até 2018. Durante seu período na instituição ele também abriu várias contas fraudulentas, incluindo uma conta que Ayeah usou para promover o esquema.
Se for considerado culpado, Elkhebri pode pegar até 52 anos de prisão, enquanto os outros dois podem pegar no máximo 20 anos de cadeia porque a gravidade de seus atos deve ser considerada menos severa. A expectativa é que as sentenças definitivas saiam em breve.