Não feche isso guias! Eu sei que existem poucas combinações de palavras menos interessantes do que negócios, e-mail e compromisso. Posso muito bem ter escrito um artigo sobre fibra, meias e responsabilidade. Mas este não é um artigo chato: é um artigo sobre vigaristas de e-mail que, segundo o FBI, ganham US$ 26 bilhões por ano enganando pessoas.
Então, sim: golpes de comprometimento de e-mail comercial são um grande problema. Os vigaristas por trás deste empreendimento criminoso enviarão um e-mail frio para você, fingindo ser alguém com quem você trabalha, para obter acesso a dinheiro ou informações. Você pode receber um e-mail que parece ser do CEO da sua empresa solicitando que você faça algo rapidamente, como comprar cartões-presente, ou pode receber um e-mail que parece ser de um funcionário da sua empresa solicitando que você altere suas informações de depósito direto. O golpe em si pode assumir várias formas, mas o objetivo final é, de alguma forma, desviar dinheiro de você ou da empresa para a qual trabalha.
Vale a pena para qualquer pessoa que trabalhe em escritório dedicar alguns minutos para aprender como identificar esses e-mails. Conversei com alguns especialistas e eles me transmitiram alguns conselhos úteis.
Sempre questione a urgência
Quando perguntei a dois especialistas em segurança cibernética sobre a fraude BEC, esperava que eles fornecessem aconselhamento técnico. Ambos começaram com emoções. Isso faz sentido: embora esse tipo de fraude aconteça em computadores, seu cerne é a manipulação psicológica. Portanto, detectar um golpe de comprometimento de e-mail requer entrar em contato com você e saber como você está se sentindo.
“Se um e-mail provocar uma resposta emocional, dê um passo atrás e releia-o quando estiver mais calmo”, diz Ronnie Tokazowski, pesquisador de segurança que trabalha para educar as pessoas sobre fraudes por e-mail há mais de uma década. Tokazowski enfatiza a importância de criar um falso senso de urgência para tais golpes. O estresse que o golpe induz é o que impede você de questionar a premissa. “As pessoas que são atraídas para esse tipo de fraude… suas emoções ficam muito desreguladas”, diz ele. Isso torna você menos capaz de pensar criticamente, o que é uma parte fundamental de como esses golpes funcionam.
Selena Larson, pesquisadora de ameaças da empresa de segurança cibernética Proofpoint, deu um passo além. “Não sei se você consegue publicar isso, mas sinceramente: apenas respire”, diz ela. “Vá mais devagar, respire fundo. Isso realmente ajuda você a pensar de forma mais clara e racional. Afaste-se do computador ou do telefone e pense criticamente. Seria um e-mail que alguém me enviaria? Isso é uma coisa lógica que eu Estou sendo solicitado a fazer?”
Você deve ser particularmente cético se a pessoa que envia o e-mail lhe pedir para manter algo em segredo.
“Os golpistas fazem coisas como isolar você de seus colegas”, diz Larson. “Eles chegam até você de uma posição de autoridade e dizem coisas como: ‘Por favor, mantenha isso confidencial e apenas entre nós.’ Esse tipo de engenharia social faz com que as pessoas sintam que precisam tomar uma ação com algum tipo de urgência e que não podem compartilhá-la com ninguém.”
Então este é o primeiro passo: assumir o controle das suas emoções. Sim, pode ser difícil se você trabalha em uma área exigente. Mas é a sua melhor primeira defesa, e seu empregador irá agradecer por isso (ou, pelo menos, deveria).
Sempre confirme por meio de um segundo canal
Agora que você está questionando com ceticismo a legitimidade da solicitação urgente, verifique se o e-mail vem da pessoa de quem afirma ser. A melhor maneira de fazer isso é perguntando – apenas tome cuidado.
“Se você receber um e-mail como este, é importante pegar o telefone e ligar para o número que você sabe ser legítimo”, diz Larson, acrescentando uma ressalva. “Não confie em um número de telefone no próprio e-mail – ele será propriedade do autor da ameaça.”
Este é um ponto crucial: qualquer informação de contato no próprio e-mail provavelmente está comprometida, e às vezes de forma inteligente. Use o número de telefone que você já salvou no telefone da pessoa em questão ou procure o número de telefone em um site oficial ou no diretório oficial da empresa. Isso se aplica mesmo que o número no e-mail pareça correto, porque alguns golpistas se darão ao trabalho de conseguir um número de telefone semelhante ao da pessoa que estão se passando, na esperança de que você ligue para esse número em vez de o Real.
“Vi números de telefone com dois dígitos diferentes do número de telefone real”, diz Tokazowski.
Ligue para a pessoa que supostamente lhe enviou o e-mail – usando um número que você tem 100% de certeza de que é real – e confirme se a solicitação é autêntica. Você também pode usar algum outro canal de comunicação seguro, como Slack ou Microsoft Teams, ou, se eles estiverem no escritório, basta perguntar pessoalmente. O objetivo é confirmar qualquer solicitação urgente em algum lugar fora do e-mail inicial. E mesmo que a pessoa seja seu chefe ou algum outro figurão, não se preocupe em perder tempo.
“A pessoa que está sendo personificada prefere que alguém reserve um tempo para confirmar do que perder milhares ou um milhão de dólares em uma transação maliciosa”, diz Larson.
Verifique o endereço de e-mail
Entrar em contato com o suposto remetente nem sempre é uma opção. Caso contrário, existem alguns truques que você pode usar para identificar se um e-mail é real ou falso. A primeira: verifique o endereço de e-mail e certifique-se de que é do domínio da empresa.
“Sempre verifique os domínios dos quais você recebe e-mails”, diz Larson. Às vezes isso será óbvio; seu CEO provavelmente não está enviando e-mails para você de uma conta do Gmail, por exemplo. Às vezes, será mais sutil: sabe-se que fraudadores compram domínios que se parecem com os da empresa que estão tentando fraudar, tudo na esperança de parecerem legítimos.
Também vale a pena verificar se a assinatura do e-mail corresponde ao endereço de origem do e-mail. “Se você olhar no rodapé, eles usarão o domínio real da empresa para fazer com que pareça legítimo, mas não corresponderá ao endereço de e-mail”, diz Larson. Lembre-se de que a diferença pode ser sutil. “Domínios semelhantes são muito comuns: alguém fará uma ligeira variação, como um ‘l’ em vez de um ‘i’, para parecer legítimo.” Uma maneira de testar isso, se você suspeitar, é copiar e colar metade do endereço do domínio em um navegador. Se você não conseguir um site, provavelmente está lidando com um site falso.
Outro truque que os golpistas usarão é a falsificação de e-mail, que você pode detectar clicando em responder e verificando o endereço de e-mail que aparece no campo “Para”. Se for um endereço de e-mail diferente daquele de onde o e-mail parece ter chegado, você provavelmente está lidando com uma solicitação falsa.
Siga os protocolos adequados
Isso é chato, mas a melhor defesa contra golpes de comprometimento de e-mail comercial pode ser a burocracia antiquada. Se houver um processo em vigor para coisas que são alvo comum de golpes – grandes compras, por exemplo, ou atualização de informações financeiras em um banco de dados – então sua empresa terá menos probabilidade de ser vítima de tais golpes.
“Na maioria das vezes, do ponto de vista do processo, essa solicitação de compra de algo precisaria passar por recursos humanos, compras”, diz Tokazowski. Se você receber uma solicitação como esta por e-mail solicitando que você ignore os processos habituais, seja cético. “É preciso haver um rastro de papel. Alguém dizendo ‘compre isto pela sua conta pessoal’ é um processo que simplesmente não aconteceria.”
Uma empresa saudável provavelmente não deveria usar o e-mail como fluxo de trabalho para processos financeiros importantes. Se você deseja alterar suas informações de depósito direto, por exemplo, é uma prática péssima para o fluxo de trabalho.
Líderes: Mantenham a comunicação aberta
Tenho um último conselho, e é para líderes dentro de empresas: não aja de forma que as pessoas confundam golpistas com você. Se você envia e-mails regularmente aos funcionários e pede favores urgentes, enquanto diz às pessoas para não falarem sobre essas solicitações e não trabalharem por meio dos canais oficiais, você aumenta as chances de sua empresa ser vítima de tais golpes. Por outro lado, se você criar uma cultura empresarial de transparência, estará tornando a empresa mais forte e resistente.
“Um passo importante é garantir que você está tentando promover uma cultura de comunicação aberta”, diz Tokazowski. Muitas organizações estão estruturadas de forma que a comunicação entre os vários níveis seja minimizada. Nessas organizações, diz Tokazowski, “reuniões de nível superior” são úteis. Este é um estilo de reunião em que um gerente sênior se reúne com os subordinados diretos de um gerente intermediário sem a presença do gerente intermediário — pulando um nível na hierarquia — para desenvolver caminhos de comunicação mais fortes entre todos os níveis.
Outra coisa que os líderes devem ter em mente é a importância de falar abertamente caso sua empresa seja vítima de tal golpe.
“A vergonha que as pessoas sentem, independentemente do tipo de golpe, sentindo-se horríveis, faz parte de como esses golpes continuam funcionando”, diz Larson. “Falar sobre isso abertamente ajuda a pessoa, seus pares e seus colegas a aprender como entender como se proteger”.