CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Hackers levam US$ 1,3M de fundos no Reino Unido e Israel

Da Redação
23/04/2020

Hackers operaram capturando emails e utilizando e-mails de domínios falsos para iludir funcionários das empresas. Conseguiram assim quatro transferências bancárias fraudulentas para suas contas em bancos de Hong Kong

Três fundos de private equity do Reino Unido e de Israel perderam um total equivalente a US$ 1,3 milhão por causa de transferências bancárias fraudulentas. Foram quatro transferências para bancos principalmente de Hong Kong, conseguidas com informações obtidas por meio de e-mails que iludiram os destinatários – um autêntico caso de BEC, ou ‘business e-Mail compromise’. As informações foram divulgadas hoje pela manhã pelo especialista Matan Ben David, da Check Point Research. A empresa entrou na investigação do incidente dia 16 de Dezembro do ano passado e conseguiu recuperar cerca de 570 mil Libras. O restante do dinheiro foi considerado perdido.

O roubo foi feito por uma quadrilha especializada e sofisticada, que os especialistas da Check Point batizaram de “The Florentine Banker”. Durante meses, relataram os especialistas, os hackers se concentraram no objetivo, manipulando correspondências por e-mail, registrando domínios muito semelhantes aos que enviavam correspondência legígima para as firmas de private equity. Eles sacavam o dinheiro imediatamente após cada transferência. Ao todo, foram quatro transações bancárias, somando 1,1 milhão de Libras enviadas para contas não reconhecidas pelas vítimas. A intervenção de emergência da Check Point permitiu a recuperação de apenas £ 570 mil, deixando o restante como fundos permanentemente perdidos. Os pesquisadores da Check Point descobriram que o Florentine Banker também comprou vários domínios não relacionados ao alvo atual, indicando que haverá potencialmente mais alvos a serem atacados.

Como a quadrilha opera

Depois de selecionar um alvo, o Florentine Banker inicia seu ataque com uma campanha de phishing direcionada contra pessoas-chave da empresa. Essas pessoas geralmente são executivos, como CEOs e CFO – ou seja, os responsáveis pelas grandes transações financeiras. Neste caso, os primeiros e-mails de phishing foram enviados para apenas duas pessoas, uma das quais forneceu suas credenciais de acesso ao e-Mail. Os ataques de phishing continuam, persistindo por semanas em métodos alternativos, adicionando ocasionalmente novos indivíduos à lista de destinatários, até que os invasores obtenham uma visão panorâmica de todo o cenário financeiro da empresa – e especialmente quem faz transferências e de que modo.

Veja isso
Banco Cayman National admite que foi invadido por hackers
Roubo via Swift em banco do Nepal rende US$ 3.8M

No caso dos fundos de private equity britânicos, um total de sete domínios diferentes foi usado pelos atacantes para iludir os funcionários; ou se pareciam com domínios conhecidos ou eram usados num site para servir as páginas de phishing. Após um exame mais detalhado, a Check Point encontrou 39 domínios semelhantes registrados entre 2018 e 2020, claramente tentando se fazer passar por empresas legítimas, que também podem ter sido alvos do Florentine Banker. Para proteger a privacidade das vítimas em potencial, a Check Point não compartilhou e as marcas visadas. A Check Point Research está entrando em contato com essas organizações para evitar outro golpe de BEC (business e-mail compromise). As próximas vítimas podem estar nos seguintes países:

Origens do banqueiro florentino

Durante a investigação da Check Point, não foram encontradas pistas sobre as origens da quadrilha, mas algumas caraterísticas podem indicar a origem:

  1. Só foram interceptadas e manipuladas conversas ou transações em inglês
  2. A quadrilha operava de segunda a sexta-feira
  3. Contas bancárias fraudulentas foram localizadas em Hong Kong e no Reino Unido
  4. Havia vários emails em hebraico, com informações valiosas que não foram usados aproveitados – o que leva à suposição de que ninguém na quadrilha falam hebraico.
  5. Foi usado para transferências fraudulentas de dinheiro o nome de uma empresa com sede em Hong Kong. Mas aparentemente essa empresa era falsa ou faliu.

Compartilhar: