Empresa paga $500 mil por violação de dados iniciada por Phishing. Empresa de Corretagem multada com por Violação de Dados em US $500.000 . Comissão de Comércio de Futuros de Commodities dos EUA atingiu a Philips Capital Inc., uma corretora sediada em Chicago, com uma multa civil de US $ 500.000 por erros de segurança antes e depois de uma violação de dados de 2018, que resultou no roubo de US $ 1 milhão das contas dos clientes.

A Comissão de Comércio de Futuros de Commodities dos EUA emitiu hoje um pedido e liquidação simultânea de acusações contra a Phillip Capital Inc. (PCI), comerciante registrado de comissão de futuros, por permitir que criminosos cibernéticos violem os sistemas de e-mail PCI, acessem as informações dos clientes e tenham sucesso em retirar US $ 1 milhão em fundos de clientes do PCI. O pedido também conclui que a PCI não divulgou a violação cibernética a seus clientes em tempo hábil. Por fim, o pedido constata que a PCI não supervisionou seus funcionários com relação à política e aos procedimentos de segurança cibernética, um programa de segurança de  informações por escrito e desembolsos de clientes.” – CFTC 12/09/2019

Na ordem da comissão, que foi anunciado sexta-feira dia 13 de setembro, a Philips Capital também reconhece que tenha pago a restituição de US $ 1 milhão para clientes cujo dinheiro foi roubado.

A comissão, uma agência federal independente que regula os mercados de futuros e opções, descobriu que a Philip Capital não seguia os requisitos regulatórios dos EUA para informar os clientes sobre a violação em tempo hábil. Ele também descobriu que a corretora permitia que os cibercriminosos violassem seus sistemas, acessassem as informações dos clientes e roubassem dinheiro dos clientes. E culpou a empresa por não garantir que seus funcionários seguissem diretrizes escritas na segurança cibernética.

O cibercrime é uma ameaça real e crescente em nossos mercados“, disse o diretor de execução da CFTC, James McDonald. “Embora não seja possível eliminar todas as ameaças cibernéticas, os registrantes da CFTC devem ter procedimentos adequados – e seguir esses procedimentos – para proteger seus clientes e suas contas de possíveis danos“, completou.

Tudo começou com um phishing

Segundo o Information Media Group a violação que levou à penalidade financeira começou em fevereiro de 2018, quando um engenheiro de TI da Phillip Capital recebeu um e-mail de phishing de uma conta previamente hackeada em 28 de fevereiro de 2018, segundo a comissão.

O engenheiro de TI clicou em um anexo em PDF no e-mail e inseriu as informações de login da conta de e-mail do administrador, fornecendo involuntariamente essas credenciais aos criminosos cibernéticos“, constatou a comissão.

“O problema começou quando um engenheiro de TI recebeu um e-mail de phishing de uma conta previamente hackeada”

Os atacantes usaram essas credenciais administrativas para acessar contas de email do CEO da empresa e de outros. Essas contas de email comprometidas continham informações detalhadas do cliente, de acordo com o pedido da comissão.

Em 2 de março, dois dias após a violação inicial, o engenheiro reconheceu que várias contas de email da empresa haviam sido comprometidas, de acordo com a notificação. O engenheiro teria então redefinido as senhas nas contas afetadas, e, por instrução, enviou um email informando a todos os funcionários da violação de email e instruindo-os a alterar suas senhas, conforme a ordem.

Transferência fraudulenta

No dia em que a Philip Capital descobriu a violação, a empresa também recebeu um pedido de transação fraudulenta. O atacante enviou um e-mail à empresa que fingia ser cliente e solicitou que US $ 1 milhão fosse transferido de diferentes contas de clientes para um destinatário em Hong Kong, segundo os documentos.

O especialista em atendimento ao cliente respondeu diretamente ao email fraudulento para perguntar se o destinatário em Hong Kong era um cliente do [Philip Capital]; os cibercriminosos responderam por email, afirmando que o destinatário era um cliente e pedindo ao especialista em atendimento ao cliente que concluir a transação “, de acordo com a comissão.

O especialista em atendimento ao cliente, juntamente com o departamento financeiro, aprovou a transferência e o dinheiro foi retirado das contas naquela tarde. Somente quando um cliente ligou para perguntar sobre o motivo da transferência de dinheiro a empresa percebeu que a transação era fraudulenta, determinou a comissão.

Em quase todas as etapas do processo, parece que a Philip Capital não adotou, ou deixou de seguir, boas práticas de segurança que levariam sinais de alerta, diz Joseph Carson, cientista chefe de segurança da empresa de segurança Thycotic.

Clientes não foram avisados

A Philip Capital também não seguiu seus procedimentos padrão de segurança por escrito quando se tratava de informar os clientes sobre o incidente, determinou a comissão. Em vez disso, a empresa enviou um e-mail a todos os funcionários afirmando “tudo isso é confidencial e nenhuma menção deve ser feita fora da empresa – isso é muito importante e pode afetar a empresa“, de acordo com o pedido da comissão.

A empresa tentou esconder:

  • Orientação aos funcionários : ‘tudo isso é confidencial e nenhuma menção deve ser feita fora da empresa’ orientaram’
  • Orientação aos clientes que souberam: ‘tudo isso é confidencial e nenhuma menção deve ser feita fora da empresa’

Apesar de saber sobre a violação, o CEO da Philip Capital decidiu inicialmente não informar todos os seus clientes sobre o ataque ou a transferência eletrônica fraudulenta, determinou a comissão. Em vez disso, a empresa enviou um aviso geral aos clientes sobre esquemas de phishing.

Além disso, a investigação constatou que o diretor de conformidade da empresa foi instruído a solicitar a qualquer cliente que soubesse da violação que não discutisse com outras pessoas porque “isso só prejudicaria nossa empresa para que outras pessoas soubessem“, concluiu a comissão.

Duas semanas após o incidente, a Philip Capital notificou apenas dois clientes cujas contas foram atacadas pelos atacantes por roubo, segundo a comissão. A empresa, no entanto, não notificou os clientes cujas informações poderiam ter sido comprometidas até fevereiro deste ano, um ano depois, de acordo com o pedido da comissão.

Desde a investigação da comissão, a Philip Capital começou a aplicar salvaguardas mais fortes para proteger os dados dos clientes e agora oferece serviços de monitoramento de roubo de identidade, de acordo com a comissão.

Este é um lembrete para todas as empresas que precisam cumprir as regulamentações governamentais de que, se violadas, não só os cibercriminosos estarão atrás do seu dinheiro, mas também é provável que os reguladores também o multem por não proteger os ativos valiosos de seus clientes, “Carson diz.

Fonte: Minuto da Segurança