Te imaginas que robaran tu identidad, solicitaran algunas cosas que ponen en riesgo tu reputación y además ponen en jaque a las áreas críticas de la organización.
Seguro has oído hablar de casos en donde el correo electrónico de negocios de un alto directivo se ve comprometido y los daños causados fueron catastróficos, este tipo de casos están aumentando cada vez más de tal forma que la próxima víctima podrías ser tú.
Un Business Email Compromised o BEC por sus siglas en inglés es un correo electrónico con dirección corporativa que contiene una petición falsa, que conduce a un fraude. Generalmente es enviado por uno de los directivos de la organización o personal VIP.
El FBI lo define como una estafa de correo electrónico sofisticada dirigida a las empresas que trabajan con socios extranjeros que realizan regularmente pagos de transferencia bancaria. BEC normalmente se inicia cuando las cuentas de correo electrónico de los ejecutivos de negocios están comprometidas y falsificadas, y el estafador envía correos electrónicos a un empleado desconocido para instruirlos a enviar grandes sumas de dinero a cuentas extranjeras.
¿Y cómo es tan exitoso? El éxito en este tipo de estafas se debe a una buena investigación de la víctima y efectivas tácticas de ingeniería social que el ciberdelincuente va aplicando hasta dominar la forma en que la víctima se expresa, comunica y actúa, para suplantar su identidad y ejecutar su plan malicioso.
En los últimos tres años, ataques por BEC han causado al menos $ 5,3 mil millones en pérdidas totales a aproximadamente 24,000 empresas en todo el mundo, según las últimas cifras del FBI .
Aunque algunos casos implican el uso de malware, los esquemas BEC son conocidos por confiar únicamente en técnicas de ingeniería social, haciéndolos muy difíciles de detectar.
Los incidentes recientes demostraron cómo los empleados fueron engañados por los email que enmascaraban como mensajes legítimos que venían de los ejecutivos de la compañía que pedían la información.
Este tipo de ataque funciona a través de cinco tipos de esquemas principales :
- El esquema del fraude del CEO
- El esquema de factura falsa
- El esquema de transacción de cuenta
- El esquema de representación de abogado
- El esquema de robo de datos
1) El esquema del fraude del CEO ¿Quién está involucrado? (CEO, CFO)
Este es el más común, es donde los criminales suplantan la identidad de las posiciones de alto nivel, como el CEO comprometiendo su correo electrónico; las cuentas de estos ejecutivos VIP pueden ser directamente comprometidas o simplemente falsas, las cuales se aprovechan para el envío de correos falsificados por donde envían una solicitud de transferencia de fondos a uno de los empleados o responsables de las áreas financieras dentro de la empresa. En la mayoría de los casos aparecen estas solicitudes de parte del CEO y se envían al Director Financiero de la misma organización.
2) El esquema de factura falsa ¿Quién está involucrado? (CEO, PROVEEDORES)
En este tipo de ataque, los ciberdelincuentes se hacen pasar por un proveedor que solicita que hagan un el pago de una factura en otra ubicación, brindando una cuenta de pago alternativa y fraudulenta, la solicitud puede hacerse a través de email, teléfono o incluso fax.
3) El esquema de transacción de cuenta ¿Quién está involucrado? (EMPLEADO, PROVEEDORES)
Aquí, un empleado “x” tiene su correo electrónico comprometido, no suplantado. Y a través de él, el atacante envía las solicitudes de pago de facturas desde el correo electrónico de este empleado a múltiples proveedores que forman parte de la lista de contactos de este empleado, indicándoles que realicen los pagos a una cuenta fraudulenta.
4) El esquema de representación de abogado ¿Quién está involucrado? (CEO, FINANZAS)
En esta versión los ciberdelincuentes, también pueden hacerse pasar por abogados o representantes de bufetes de abogados alegando tratar la confidencialidad de las actividades de la organización y o asuntos sensibles, este tipo de estafa por lo general se planea para ejecutarse al al cierre de un negocio, final de un trimestre o al finalizar el día hábil o semana laboral, exactamente cuando los empleados se están preparando para descansar o cuando las instituciones bancarias cierran su semana para que la transferencia de fondos no pueda ser tratada hasta la próxima fecha laboral.
5) El esquema de robo de datos ¿Quién está involucrado? (CEO, HR, AUDIT)
En este escenario el vector de ataque es un empleado del área de Recursos Humanos o Auditoría, y sirve como gancho, a través de su correo electrónico envían peticiones de datos personales con el pretexto de contar con un expediente completo solicitan información de identificación personal.Con esto tendrán información valiosa para planear un ataque más sofisticado en contra de la propia empresa.
Para ayudar a las empresas a mantenerse al día con las tendencias de seguridad y defensa contra ataques BEC y similares, Grupo Smartekh en conjunto con Trend Micro realizó un análisis de riesgo y una charla de concientización con algunas empresas en México que identificaron a tiempo emails sospechosos.
Específicamente para las áreas involucradas como Recursos Humanos, Finanzas, Auditoría y roles destacados como CEO, CFO, estamos trabajando en un ejercicio de concientización a fin de proteger su identidad digital y minimizar el riesgo de ser estafados por alguno de los esquemas que maneja BEC.
El equipo de Trend Micro creo este video que incluye los 5 tipos de ataques por BEC y los datos más relevantes acerca de la forma en que perjudican a las empresas. Conoce cómo está afectando a todo tipo de industrias y empieza una estrategia de defensa contra este tipo de ataques.