O que é um ataque BPC?
Os ataques classificados como Business Process Compromise (BPC) alteram silenciosamente partes de processos de negócios específicos, ou máquinas que facilitam esses processos, a fim de gerar um lucro monetário significativo para os invasores.
O alto grau de discrição com que esses ataques são realizados geralmente significa que as empresas podem não identificar ou detectar facilmente as mudanças do comportamento esperado como normal, já que as funções comprometidas do processo continuam funcionando como esperado, mas produzem um resultado diferente do originalmente pretendido.
Mas como exatamente funciona o BPC e o que sua empresa pode fazer para se proteger desse ataque? É sobre isso que falaremos hoje! Continue lendo e descubra:
Como o BPC funciona?
O BPC é caracterizado pela compreensão profunda dos operadores de ameaças sobre as operações e sistemas internos das redes de destino, bem como os padrões usados por suas organizações-alvo. Ele permite invadir, infiltrar ou sequestrar processos de negócios, como gerenciamento de contas, aquisições, operações de fabricação, pagamento e entrega.
O assalto do Banco Central de Bangladesh é um exemplo do BPC. Nesse ataque, que resultou em perdas de até US $ 81 milhões, os cibercriminosos mostraram que tinham uma forte compreensão de como funciona a plataforma financeira SWIFT e tinham conhecimento das fraquezas dos bancos parceiros que a utilizam.
Ao comprometer a rede de computadores do Banco Central do Bangladesh por meio de e-mails de phishing, os cibercriminosos puderam rastrear como as transferências foram feitas e apreender as credenciais do banco para realizar transações não autorizadas.
O ataque também se estende além das transações financeiras. Em 2013, um sistema de rastreamento de contêineres no porto de Antuérpia, na Bélgica, foi hackeado para contrabandear uma tonelada de cocaína e heroína para além das autoridades portuárias.
O BPC pode usar as mesmas ferramentas e técnicas que os ataques direcionados, mas, em vez de buscar dados confidenciais, os crackers no BPC estão focados unicamente em poder se beneficiar diretamente da alteração dos processos de negócios.
BPC e BEC são a mesma coisa?
O foco no sistema financeiro faz o BPC lembrar muito outro tipo de ataque que assombra o mesmo segmento: o BEC. Contudo, existem algumas diferenças entre os dois que devem ser destacadas.
O BEC é uma fraude que depende muito de táticas de engenharia social para atrair suas vítimas para a transferência de fundos para contas de propriedade de fraudadores. Ao realizar o BEC, os invasores geralmente se passam por CEOs ou executivos de alto escalão relacionados a pagamentos de financiamento ou transferências bancárias. BEC tem cinco tipos, de acordo com o FBI.
Por outro lado, o BPC é um ataque mais complexo — envolve a modificação de processos para gerar um resultado diferente do originalmente pretendido. Isso geralmente leva a ganhos financeiros significativos para os invasores.
Muitos líderes de negócios desconhecem o que é e como funciona um ataque BPC. Para oferecer mais informações sobre esta ameaça e sobre como identificar e proteger a sua empresa, abaixo listamos os tipos de BPC mais comumente encontrados:
1. Desvio
Os ataques que se enquadram nesse tipo de BPC exploram as falhas de segurança no sistema de fluxo de caixa da organização. Os atores da ameaça podem então transferir dinheiro para canais supostamente legítimos.
Um exemplo desse tipo de BPC é a fraude na folha de pagamento, na qual os invasores ou insiders mal-intencionados com acesso ao sistema de folha de pagamento podem adicionar funcionários fantasmas ou falsos e usá-los para desviar dinheiro.
As transferências bancárias fraudulentas também se enquadram nesse tipo de BPC. Os cibercriminosos encontram brechas no sistema de transferência de dinheiro de um banco e alteram códigos ou usam malware para desviar recursos para as contas que possuem e controlam.
2. Piggybacking
Esse tipo de BPC aproveita os principais processos de negócios, como o transporte de mercadorias ilegais e a transferência de software malicioso, o que se traduz em grandes ganhos financeiros para os invasores.
3. Manipulação financeira
Esse tipo de BPC inclui aqueles que visam influenciar resultados financeiros e importantes decisões de negócios, como aquisições de empresas. Os invasores fazem isso introduzindo variáveis maliciosas em um sistema ou processo comercial chave.
A negociação de ações pode ser manipulada, por exemplo, quando um software ou sistema de negociação é especificamente direcionado para distorcer o valor das ações. Comerciantes mal-intencionados poderiam acumular milhares ou mesmo milhões dessa volatilidade repentina no mercado.
Estratégias de defesa contra o BPC
Todas as organizações, de grandes instituições financeiras a PMEs, estão potencialmente vulneráveis a ataques de BPC. No entanto, existem maneiras de evitar ou minimizar o impacto desses:
1. Analise o fluxo de informações de diferentes sensores para detectar anomalias
A análise de dados do fluxo de informações de vários sensores pode ser usada como uma linha de base para comparar a congruência do fluxo de informações e detectar quaisquer anomalias. A auditoria periódica de todos os registros e transações é essencial para determinar as lacunas e melhorar a postura de segurança do ambiente corporativo.
2. Encontre desvios estatísticos em práticas e processos semelhantes do setor
As tecnologias de segurança, como o monitoramento de comportamento e a prevenção contra invasões, podem detectar discrepâncias ou sinalizar atividades suspeitas na rede. Além disso, as empresas devem aproveitar dados semelhantes de outras práticas e processos do setor ou de fontes disponíveis publicamente para servir como medidas adicionais sobre possíveis resultados e expectativas.
3. Proteja os processos de negócios por meio da plataforma aberta de segurança (OPSEC)
A contratação de uma equipe externa para simular possíveis cenários de ataque de todos os pontos (tecnologias e ferramentas utilizadas, processos, medidas de segurança etc.) pode testar a prontidão de segurança e destacar aspectos ou lacunas comumente negligenciadas em uma organização. Essa equipe deve ser composta por contadores forenses com experiência em lavagem de dinheiro.
4. Faça controle de qualidade regular e teste de penetração
Testes de penetração e / ou controle de qualidade são etapas que mostram os pontos fracos críticos da rede, como vulnerabilidades que podem ser exploradas. No entanto, os testes devem trabalhar em cima da noção de que os invasores já têm o nível mais alto de acesso e se os processos em vigor podem atenuá-los no caso de um ataque real.
Também é aconselhável que tais testes sejam focados na lógica de negócios, a fim de identificar as falhas e fraquezas no processo atual que podem ser exploradas.
5. Restrinja ações programáveis
Os invasores podem encontrar falhas na lógica de negócios e abusar de ações com script dentro do sistema. Essas ameaças podem ser resolvidas restringindo a execução de processos desnecessários.
6. Tarefas separadas dos funcionários
Para evitar ameaças internas, é essencial distribuir as tarefas para pessoas diferentes em vários departamentos. Por exemplo, aqueles que lidam com finanças devem ser diferentes da TI. Da mesma forma, a equipe que está lidando com o teste do produto não deve ser a mesma da linha de produção para afastar as tentativas de introduzir fatores maliciosos.
7. Exija duas pessoas (de equipes diferentes) para executar ações críticas
O BPC abusa de processos legítimos, dificultando sua defesa. Embora a exigência de duas pessoas não pare os ataques, isso dificultará o roubo financeiro dos invasores. Nos bancos, por exemplo, é uma prática comum separar as obrigações para que, quando ocorre um ataque, os invasores tenham que comprometer duas credenciais específicas.
8. Treine funcionários para identificar ataques de engenharia social
Os treinamentos de conscientização de segurança capacitam funcionários de alto nível (CEO, CFO etc.) até os funcionários e parceiros terceirizados a identificar e responder ao BPC. Outras práticas básicas de segurança, como instalar somente aplicativos confiáveis e inserir informações apenas em sites legítimos, podem impedir a introdução de riscos no nível do gateway.
Com as organizações lutando para melhorar a proteção de dados à frente das novas leis de privacidade estabelecidas em 2018, o Business Process Compromise provavelmente ficará em segundo plano na lista de tarefas da TI. Contudo, é preciso atenção para essa ameaça, tomando as devidas medidas preventivas para evitá-la!
E você, já conhecia o BPC? O que achou do nosso post? Comente abaixo e compartilhe suas opiniões e ideias conosco.
