Um cidadão nigeriano foi preso em Gana e enfrenta acusações relacionadas a ataques de comprometimento de email comercial (BEC) que fizeram uma organização de caridade nos Estados Unidos perder mais de 7,5 milhões de dólares.
Olusegun Samson Adejorin foi preso em 29 de dezembro por fraudar duas organizações de caridade em Maryland e Nova York, de acordo com uma acusação de oito crimes do grande júri federal nos EUA.
Especificamente, Adejorin enfrenta acusações de fraude bancária, roubo de identidade agravado e acesso não autorizado a um computador protegido relacionado a ataques voltados para duas organizações de caridade com sede em Maryland, culminando no desfalque de 7,5 milhões de dólares.
Em um anúncio esta semana, o Departamento de Justiça dos EUA (DoJ) afirmou que o esquema de fraude de Adejorin ocorreu entre junho e agosto de 2020 e envolveu acesso não autorizado a contas de email, além de se passar por funcionários.
Posando como um funcionário de uma caridade (Vítima 2), Adejorin solicitou grandes saques de fundos da outra caridade (Vítima 1), que prestava serviços de investimento para a Vítima 2.
Para processar com sucesso saques acima de 10.000 dólares, Adejorin usou credenciais roubadas para enviar emails de contas de funcionários que precisavam aprovar as transações.
Após essas ações, Adejorin conseguiu enganar a Vítima 1 a transferir 7,5 milhões de dólares para contas bancárias que o atacante controlava, enquanto a organização acreditava que estavam depositando os valores em contas bancárias legítimas da Vítima 2.
Adejorin enfrenta uma pena máxima de 20 anos por fraude bancária, cinco anos por acesso não autorizado a um computador protegido e uma sentença obrigatória de dois anos por roubo de identidade agravado.
O anúncio do DoJ dos EUA também aponta que a sentença pode ser estendida por sete anos por registro malicioso e uso de um nome de domínio.
Os ataques BEC, conhecidos também como fraude do CEO, podem resultar em um dano financeiro significativo.
No último verão, um relatório do FBI observou que o comprometimento de email comercial havia causado bilhões de dólares em perdas.
Algumas medidas de defesa razoáveis a considerar incluem a implementação de autenticação de vários fatores para reduzir a probabilidade de acesso não autorizado à conta, o uso de filtragem de email para detectar e bloquear tentativas de phishing, e o estabelecimento de um procedimento de verificação que respalda os pedidos de transferência bancária e envolve o uso de um canal de comunicação secundário.
Ao se deparar com pedidos suspeitos, como alterar os detalhes da conta bancária, simplesmente ligar para o parceiro em um número pré-determinado para confirmar a ação pode ajudar a salvar milhões.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...