Empresário levado por US $ 1,6 milhão por hackers: ‘Quando isso acontece, você fica um pouco pasmo’

Foi só depois de ter perdido US$ 1,6 milhão em uma conta bancária em Pittsburgh que John* percebeu que eles o estavam observando há algum tempo.

Em meados de dezembro, John fazia malabarismos com o trabalho, as férias que se aproximavam e o
estágios finais de um investimento de capital em uma startup de tecnologia. Seu contato na empresa com sede no Vale do Silício finalmente entrou em contato com os detalhes do depósito.

Incluído no e-mail estava um contrato de estoque com a marca apropriada e instruções de transferência eletrônica. Essas foram diferentes das rodadas anteriores, mas foram abordadas diretamente no e-mail.

“A principal e notável mudança são as instruções de fiação, nós escolhemos que as ações preferenciais da Série B sejam financiadas diretamente em nossa conta bancária em dólares americanos mantida no PNC Bank”, concluiu o e-mail de 13 de dezembro.

“Estou pensando, ‘ok, este é meu companheiro – é incomum, mas eu o conheço’”, disse John sobre o e-mail.

John encaminhou o pagamento de US$ 1 milhão conforme solicitado. Foi apenas algumas semanas depois, quando seu contato real na empresa entrou em contato para discutir o próximo negócio, que a ficha caiu.

“O verdadeiro volta para mim. Ele me enviou e-mails que nunca recebi: Eles também me cegaram. Não só eu estava fora do circuito, mas também estava separado de meus parceiros de negócios”, disse ele.

Foi só mais tarde que John percebeu que o e-mail em questão era um pouco diferente – um sufixo “.online” em vez de “.io” e com um número de telefone diferente fornecido para contato, embora o código de área correto – e ele estava acabado.

“Percebi que minha concentração estava caindo no final do ano: havia bandeiras vermelhas e eu as perdi.”

Agora está claro que o primeiro e-mail não veio de seu contato e parece que todas as comunicações entre os dois foram interceptadas por algum tempo. E por algum tempo – particularmente quando John foi apresentado com detalhes de pagamento falsos – a comunicação por e-mail legítimo foi totalmente bloqueada para evitar que o golpe fosse descoberto.

“Quando isso acontece, você fica um pouco pasmo e não sabe o que fazer”, disse John.

O que John fez foi ligar para Bronwyn Groot, um investigador particular registrado que trabalhava tanto para o BNZ quanto para a Comissão de Capacidade Financeira.

“A maior coisa que todos nós precisamos lembrar é que todos nós podemos ser enganados. O golpe certo só precisa encontrar a pessoa certa na hora certa”, disse ela.

Esse golpe envolvia três partes e processos móveis, todos os três precisando trabalhar juntos em conjunto para ter sucesso. É uma operação semelhante à que custou US$ 2,8 milhões aos organizadores da America’s Cup, Team NZ.

O primeiro é a infraestrutura: domínios de e-mail falsificados, números de telefone feitos para parecer locais com serviços de portabilidade numérica e – o mais difícil de tudo – uma conta bancária para primeiro depositar o prêmio e depois retirá-lo.

Em seguida, vem o hack, com um servidor de e-mail comprometido, permitindo que as regras sejam configuradas para encaminhar, atrasar ou bloquear totalmente as mensagens. Groot suspeita que John foi exposto com um link de phishing malicioso nas semanas ou meses que antecederam o golpe.

E, finalmente, o e-mail ou mensagem clímax projetado para acionar o pagamento de fundos requer engenharia social. Mais psicologia do que tecnologia, esta etapa fundamental depende de os golpistas saberem, a partir de comunicações anteriores, quando atacar e como formular instruções, para serem persuasivos e não dispararem alarmes.

“Eles obviamente sentaram lá e leram e assistiram até que algum tipo de compra fosse feito. Muito rapidamente com este, eles viram o e-mail com a solicitação do banco, depois fizeram um Photoshop ou alteraram a fatura existente com o novo número da conta bancária”, disse Groot.

Jordan Heersping, gerente de resposta a incidentes da agência governamental Computer Emergency Response Team (Cert), disse que os golpes sofisticados de comprometimento de e-mail comercial eram menos comuns do que o spam de texto comum, mas tendiam a ter consequências mais significativas para as vítimas.

“Não recebemos muitos relatórios sobre isso, o que é bom, mas os poucos relatórios que recebemos são perdas bastante grandes: $ 50.000 seria pouco e [John] parece ter tido uma situação particularmente ruim.”

Heerspring disse que os empresários precisam garantir que sua infraestrutura técnica esteja em dia e estar ciente dos sinais de alerta quando abordagens suspeitas são feitas.

“No lado técnico, você pode ter políticas de firewall adequadas, ferramentas de detecção de endpoint e garantir que todos os seus sistemas sejam corrigidos para cobrir as vulnerabilidades mais recentes”, disse ele.

“Mas, no lado mais humano, há algumas coisas que as pessoas podem fazer. Se você vir uma fatura incomum – digamos que uma conta bancária mudou – ligue para eles. Sempre vale a pena fazer uma ligação, principalmente se você tiver uma ligação pessoal e for um grande volume de dinheiro.”

Apesar dos bancos e autoridades policiais terem sido alertados sobre a transação maliciosa na Nova Zelândia e nos Estados Unidos, o paradeiro dos $ 1,6 milhão de John – e quem estava por trás do esquema elaborado – permanece desconhecido.

Questões jurisdicionais – com o crime ocorrendo em dois e provavelmente mais países – dificultam a cooperação entre instituições financeiras e autoridades.

John disse que sua esposa tentou colocar as coisas em perspectiva e agradeceu que a soma perdida não representasse toda a sua base de ativos.

“São apenas números em um pedaço de papel. Podemos nos dar ao luxo de perdê-lo, nem todo mundo pode. Já se passaram seis meses, mas eu ainda gostaria de ver os caras por trás disso presos.”

* O nome foi anonimizado para proteger a privacidade.