Primeiro ataque de phishing
O primeiro ataque ocorreu no final de maio de 2016. Um funcionário do National Bank of Blacksburg, situado no estado da Virgínia, nos Estados Unidos, clicou num e-mail de phishing direcionado.
De acordo com a investigação, este e-mail permitiu ao atacanteinstalar um software malicioso no computador da vítima. Posteriormente, comprometeu outro computador do National Bank of Blacksburg. Este segundo computador permitia o acesso à STAR Network. Este sistema permite gerir as contas dos clientes e a utilização dos seus cartões bancários nos caixas automáticos.
Os atacantes desativaram ou alteraram algumas configurações através deste acesso à rede STAR. A verificação do PIN (código secreto), o limite diário de levantamento ou as proteções antifraude foram os alvos.
Os ciberatacantes tomaram a precaução de iniciar as suas operações no fim de semana de 28 de maio, seguido de uma segunda-feira feriado.
Em apenas 3 dias, os criminosos conseguiram subtrair 500 000 dólares das contas dos clientes. Realizaram levantamentos em centenas de caixas automáticas.
Oito meses depois, foi registado um segundo ataque de phishing, ainda mais dispendioso
Na sequência das investigações relacionadas com o primeiro ataque e em conformidade com as recomendações dos especialistas, foram implementadas medidas técnicas.
Isso não impediu que um funcionário, por falta de sensibilização, caísse na armadilha de um segundo ataque de phishing. Com efeito, este clicou num documento Word infetado.
Desta vez, o impacto foi ainda maior. Os atacantes conseguiram, de facto, entrar num segundo sistema do banco, que gere, nomeadamente, os créditos a que os clientes têm direito.
Antes de efetuarem novas retiradas nas caixas automáticas num fim de semana de janeiro de 2017, os atacantes conseguiram, assim, creditar 2 milhões de dólares nas contas bancárias dos clientes atacados.
No final do assalto cibernético, 1,8 milhões de dólares tinham desaparecido das contas do National Bank of Blacksburg.
Um seguro cibernético que não cumpre o que promete
Tendo subscrito dois seguros cibernéticos, o banco pensava estar coberto até um montante superior a 8 milhões de dólares… No entanto, segundo a seguradora, o caso em questão deverá permitir que o banco receba uma indemnização de apenas algumas dezenas de milhares de dólares. O banco intentou uma ação judicial contra a sua seguradora.
Como é que o banco se poderia ter protegido contra os ciberataques?
Nunca é demais repetir: nenhum sistema técnico consegue eliminar o risco de um ciberataque. E nenhuma solução de software poderá impedir que um utilizador desinformado realize uma ação que permita a um hacker atingir os seus objetivos.
Só uma sensibilização adaptada a cada colaborador e um acompanhamento contínuo da aplicação dos conhecimentos na prática teriam podido evitar tal catástrofe.
A Avant De Cliquer é membro da CPME, confederação das pequenas e médias empresas de todos os setores: indústria, serviços, comércio, artesanato e profissões liberais, e está filiada na MEDEF, a principal rede de empresários de França.
Como sabem:
O Avant de Cliquer ajuda as organizações a protegerem-se contra ciberataques (dos quais 80% têm origem no phishing). Isto é feito através da sensibilização e da avaliação contínua de cada utilizador, de acordo com o seu perfil de risco.
