Fraudes multimillonarios: los números detrás del email corporativo comprometido, o estafas BEC

bec-email-kxkC--620x349@abc

En los últimos dos años, las tácticas de los Correos Electrónicos Corporativos Comprometidos, también conocidos por el término inglés Business Email Compromise (BEC), han causado pérdidas cuyo valor asciende a por lo menos 3.100 millones de dólares en más de 22.000 empresas de todo el mundo, de acuerdo con cifras dadas a conocer recientemente por el FBI. Desde enero de 2015, se ha registrado un aumento del 1.300% en pérdidas expuestas identificadas, que asciende a una pérdida media de 140.000 dólares por estafa en cada caso. El daño potencial y la efectividad de estas campañas apremiaron al FBI para emitir un anuncio de servicio público en el que detalla cómo se llevan a cabo los fraudes de BEC y el gran daño que pueden provocar a los empleados y a las compañías que atacan.

Ante las dimensiones de estas estafas electrónicas, Trend Micro ha realizado una investigación en profundidad de las BEC y a continuación se incluyen las principales conclusiones.

1

Número de víctimas y pérdidas estimadas entre 2013 y 2015

¿Cómo funcionan las tácticas de BEC?

El FBI define a los Emails Corporativos Comprometidos (BEC) como una estafa de correo electrónico sofisticada que ataca a empresas que trabajan con socios extranjeros, y que regularmente realizan pagos a través de transferencias electrónicas. Anteriormente conocido como el timo Man-in-the-Email, BEC normalmente se inicia cuando las cuentas de correo electrónico de los ejecutivos de las empresas se ven comprometidas y falsificadas, y el estafador envía correos electrónicos a los empleados desprevenidos a quienes se les da instrucciones de transferir grandes sumas de dinero a cuentas ubicadas en el extranjero.

Aunque en algunos casos se utiliza malware, las tácticas de BEC son conocidas por depender exclusivamente de las técnicas de ingeniería social, lo que los hace muy difíciles de detectar. Incidentes recientes muestran cómo los empleados han sido engañados por correos electrónicos que se hacían pasar por mensajes legítimos de los directivos de una compañía solicitando información.

El fraude BEC tiene tres versiones:

Versión 1: La táctica de la factura falsa

2

El cibercriminal compromete el email del empleado >> La cuenta comprometida se utiliza para enviar notificaciones a los clientes >> Los pagos se transfieren a la cuenta del cibercriminal >> El cibercriminal recibe el dinero.

También conocida como “La factura falsa”, “la estafa del proveedor” o “La factura modificada”, esta versión por lo general involucra a una empresa que trabaja con un proveedor extranjero. El defraudador contacta al cliente por teléfono, fax o correo electrónico para solicitar cambiar el lugar de pago de la factura o que los fondos para el pago de una factura se envíen a una cuenta fraudulenta alternativa.

Versión 2: El fraude del CEO 

3

El cibercriminal se hace pasar por un ejecutivo de la compañía y envía un correo a la persona de responsable de las administración >> El departamento financiero envía los fondos a la cuenta del cibercriminal >> El cibercriminal recibe el dinero.

En esta versión, los estafadores falsifican una cuenta de correo electrónico de un ejecutivo de la empresa. Una solicitud hecha aparentemente en nombre de dicho ejecutivo se envía entonces a un segundo empleado para solicitar hacer una transferencia a una cuenta que controla el estafador. En algunos casos, se envía directamente a la institución financiera la solicitud fraudulenta de una “transferencia electrónica urgente” con instrucciones para enviar con rápidamente fondos a un banco. Este fraude es conocido como el “Fraude del CEO”, “el fraude del ejecutivo de negocios”, “suplantación” y “fraudes electrónicos de la industria financiera”.

Versión 3: Cuentas comprometidas

4

La cuenta comprometida del empleado se utiliza para solicitar el pago >> Los receptores transfieren los pagos a la cuenta del cibercriminal >> El cibercriminal recibe el dinero.

Se hackea, no se falsifica, el correo electrónico de un empleado de la empresa “A”. Las solicitudes de los pagos de las facturas se envían desde el correo electrónico de este empleado a varios proveedores que se encuentran en la lista de contactos del empleado, normalmente involucrando solicitudes de pagos enviadas a las cuentas controladas por los defraudadores.

5

                Países más afectados por las tácticas BEC

 

¿Qué puestos dentro de las organizaciones son los más falseados por las tácticas de BEC?

Las tácticas de BEC utilizan las técnicas de ingeniería social para hacerse pasar por un empleado de la compañía objetivo. De acuerdo con la monitorización de los correos electrónicos utilizados por los patrones BEC, los cibercriminales utilizan con mayor frecuencia la del CEO en sus ataques. Estos cibercriminales envían emails haciéndose pasar por el CEO de la compañía y piden a su objetivo realizar transferencias de dinero. Otros cargos que se han utilizado para realizar fraudes BEC son los de presidente y directores ejecutivos.

6

Cargos dentro de las compañías más utilizados por los estafadores

¿Qué puestos dentro de la empresa son los más atacados por las tácticas BEC? 

Los empleados del departamento financiero de las organizaciones son los objetivos más comunes dentro de las tácticas del BEC. El director financiero (CFO), es el cargo que más se ha visto afectado a lo largo del estudio de Trend Micro. Esto tiene sentido, especialmente si se considera que estos empleados son, probablemente, los responsables de realizar transferencias de fondos a terceros.

7

                             Receptores más atacados

¿Qué temas son los más utilizados en los asuntos de los emails de BEC?

A pesar del gran impacto que las tácticas BEC han tenido, el análisis del flujo de ataques revela que sus componentes son sorprendentemente triviales. El análisis de los asuntos de los correos electrónicos que se utilizan en las tácticas del BEC reveló que la mayoría son muy simples y vagos, a veces compuestos sólo de una palabra. Sin embargo, el hecho de que dichas técnicas sean efectivas demuestra que conocen a sus víctimas lo suficiente como para provocar una acción.

8

Asuntos de correo electrónico utilizados

¿Qué herramientas que utilizan los cibercriminales para las estafas BEC?

Las herramientas que se utilizan en estos ataques también son otro indicador de lo sencillo que es para los cibercriminales llevarlos a cabo. La mayoría del malware que se utiliza en las tácticas BEC son variantes que están a la venta, y pueden ser fácilmente adquiridas online por un precio bastante bajo. Hay malware que puede comprarse por tan solo 50 dólares, mientras que algunos son mucho más baratos, o incluso están disponibles de forma gratuita.

Los incidentes en 2014 mostraron la manera en que los cibercriminales fueron más allá de los métodos de ataque comunes para robar información. En las campañas que utilizaban Predator Pain y Limitless, los correos electrónicos enviados a los objetivos contenían un keylogger que enviaba información al ciberdelincuente. Del mismo modo, en junio de 2015, dos cibercriminales nigerianos se aprovecharon de pequeñas y medianas empresas utilizando un keylogger sencillo llamado HawkEye. Otra campaña de BEC corresponde a marzo de 2016, donde se atacó a 18 compañías en Estados Unidos, Oriente Medio y Asia utilizando Olympic Vision, un keylogger simple disponible online por 25 dólares.

En marzo de 2016, varias corporaciones y empresas sufrieron ataques similares. Compañías como Seagate y Snapchat figuraron entre las empresas de alto perfil que fueron víctimas de los fraudes por correo electrónico usando los mismos métodos.
9

                         Herramientas utilizadas en BEC

¿Cómo puede defender del BEC a su compañía?

Se aconseja a las empresas enseñar a sus empleados cómo funcionan las estafas BEC y otros ataques similares. Estas argucias no requieren de conocimientos técnicos avanzados, utilizan herramientas y servicios que están disponibles en el mercado negro, y sólo requiere una única cuenta comprometida para robar a una compañía. A continuación, Trend Micro ofrece algunos consejos de cómo protegerse contra estas estafas online:

  • Analizar cuidadosamente todos los correos electrónicos. Poner especial cuidado con los emails que parezcan extraños y sean enviados por los ejecutivos de alto perfil, ya que pueden ser utilizados para engañar a los empleados para que realicen una acción con urgencia. Revise y verifique los correos electrónicos que soliciten fondos para determinar si éstas peticiones se salen de lo común.
  • Aumentar la concienciación entre los empleados. Aunque los trabajadores son el recurso más grande de una compañía, también pueden ser el eslabón más débil cuando se trata de seguridad. Comprometerse con la formación de los empleados, revisar las políticas de la compañía y desarrollar buenos hábitos de seguridad es clave.
  • Verificar los cambios del lugar de pago de los proveedores utilizando una segunda aprobación por parte del personal de la compañía.
  • Mantenerse al día con los hábitos de los clientes, incluyendo los detalles y las razones detrás de los pagos.
  • Comprobar las solicitudes. Confirmar las solicitudes de transferencia de fondos mediante la comprobación telefónica como parte de la autenticación de doble factor, y utilizar números conocidos, no los detalles proporcionados en las solicitudes que se hacen vía correo.
  • Informar de cualquier incidente de inmediato a las autoridades o presentar una denuncia ante el organismo o entidad policial que corresponda.

Componentes del BEC y qué podemos hacer

  • Correo electrónico: las capacidades de seguridad de las soluciones para el correo Trend Micro User Protection y Network Defense pueden bloquear los mensajes utilizados en los ataque BEC.
  • Ingeniería social: InterScan Messaging Security Virtual Appliance, como parte de las soluciones Trend Micro User Protection, ofrece una mayor protección contra ataques de ingeniería social frente a los correos electrónico de ingeniería social utilizados en los ataques BEC.
  • Malware: las capacidades de seguridad para endpoints de las soluciones Trend Micro User Protection y Network Defense pueden detectar malware avanzado y otras amenazas utilizadas en las tácticas BEC.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *