¿Qué haría usted si un ejecutivo de su empresa le da instrucciones de enviarle dinero para hacer un pago a nombre de la empresa? ¿Y lo hace a través de un correo electrónico?
En un mundo en el que los cibercriminales elaboran esquemas de ingeniería social y de intrusión para engañar a los empleados y convencerlos de enviar dinero, las empresas están potencialmente en riesgo de ser defraudadas a través del correo electrónico. A esta nueva amenaza global se le conoce como el correo electrónico comercial comprometido (BEC) y ya ha afectado a 8,179 compañías en 79 países entre octubre de 2013 y agosto de 2015.
Los fraudes realizados a través del BEC le generan a los cibercriminales ganancias considerables. Tan solo el año pasado, el FBI emitió varias alertas por este tipo de correos electrónicos, y aseguró que los objetivos son las compañías que trabajan con proveedores extranjeros y/o aquellas que realizan regularmente pagos mediante transferencias electrónicas. Para febrero del año pasado, el número total de víctimas reportadas había alcanzado las 2,126 y las pérdidas ascendían a casi $215 millones de dólares. Para agosto, el número de víctimas había aumentado a 8,179 y las pérdidas alcanzaban casi $800 millones de dólares.
¿Cómo puede proteger a su compañía para que no se vuelva parte de las estadísticas?
Conozca los aspectos básicos
En mayo de 2014, el contador de una empresa texana de manufactura recibió un correo electrónico del director general de su compañía. En el correo el director le daba la instrucción de esperar la llamada de un socio de negocios y le advertía que no debía compartir el correo con nadie por temor a una penalización regulatoria. Los defraudadores lograron que la compañía les entregara US$480,000 dólares.
Esta versión del fraude es sólo una de las tres conocidas del BEC: el esquema de “la factura fraudulenta” o “la estafa del proveedor”, el “fraude del CEO/ejecutivo comercial”, y el abuso de cuentas hackeadas para solicitar el pago de facturas a las cuentas bancarias de los cibercriminales.
De acuerdo con la información que tenemos, los defraudadores que utilizan el BEC a menudo buscan los correos electrónicos de las compañías que están disponibles en línea. No sólo los mercadólogos o los clientes son quienes buscan en Internet las direcciones de “información”, “administración” o “ventas” o que deducen las direcciones de los ejecutivos de la compañía. Las miles de millones de direcciones de correo electrónico que están disponibles públicamente en Internet así como la información de los empleados publicada en los medios sociales y en los sitios de las compañías le facilitan a los defraudadores de BEC encontrar a los objetivos que son fáciles de engañar.
Conozca los Fraudes Anteriores
En 2014, los cibercriminales utilizaron la herramienta Email Spider para detectar direcciones de correo electrónico que normalmente se listaban en los sitios electrónicos corporativos. Utilizaban palabras clave específicas para encontrar objetivos potenciales a quienes enviaban correos electrónicos de ingeniería social disfrazados de transacciones comerciales con archivos adjuntos críticos, los cuales realmente eran keyloggers diseñados para robar información del sistema, secuencias de teclas, así como la información almacenada en el navegador como contraseñas y nombres de usuarios.
La siguiente pantalla muestra la versión de los fraudes BEC de la “factura fraudulenta” o “la estafa del proveedor” que utilizan los operadores Predator Pain y Limitless:
Sin embargo, no toda la ingeniería social relacionada con el BEC descarga inmediatamente los archivos adjuntos que contienen malware. Al observar el modo de operar de dos criminales cibernéticos nigerianos que utilizaban el malware HawkEye, notamos una nueva tendencia: la gran estafa.
Los criminales cibernéticos enviaban solitudes sencillas e intercambiaban algunos mensajes de correo con sus objetivos. Una vez que el objetivo asume que están trabajando en una transacción comercial, los cibercriminales enviaban un correo electrónico para plantar keyloggers en la máquina del objetivo.
Después de todo, las amenazas del BEC son oportunidades comerciales para los cibercriminales. Usar la gran estafa es simplemente un medio para completar un proyecto de espionaje cibernético. Tener organizaciones con arcas abundantes como objetivos, direcciones de correo electrónico disponibles en línea, herramientas como Email Spider y spyware como HawkEye, los cibercriminales están preparados para lanzar ataques BEC a las empresas de cualquier tamaño.
Prepárese contra las amenazas BEC
Los encargados de tomar decisiones deben considerar agregar un proceso de verificación de dos pasos cuando se trata de mover los fondos o los recursos de la compañía, como canales de comunicación alternativos o firmas digitales. También deben mantener actualizados a los empleados sobre los nuevos esquemas descubiertos por los investigadores de seguridad y/o las agencias gubernamentales.
Todos los empleados (no únicamente los directores de TI) necesitan estar familiarizados con los esquemas que se utilizan para lanzar amenazas de BEC. Asegúrese de seguir hábitos saludables en el uso del correo electrónico, como es inspeccionar cuidadosamente todos los correos electrónicos, verificar doblemente con un punto de contacto a través de otros canales antes de enviar pagos de facturas, y eliminar inmediatamente los mensajes basura. El FBI también recomendó usar la función “Reenviar” en lugar de “Responder” de modo que usted pueda escribir la dirección de correo electrónico de su contacto y asegurarse de que se utilice la dirección correcta.
Los directores de TI pueden instalar soluciones de seguridad de correo electrónico para bloquear el malware conocido relacionado con BEC antes de que pueda entrar.
El InterScan Messaging Security Virtual Appliance con protección mejorada contra ataques sociales brinda protección contra los correos electrónicos con ingeniería social utilizados en los ataques de BEC. Asimismo, Deep Discovery Analyzer que forma parte de la familia de soluciones Trend Micro Custom Defense ayuda a detectar malware avanzado y otras amenazas que llegan a través del correo electrónico. La seguridad mejorada, junto con el conocimiento de amenazas cuando se trata de lidiar con correos electrónicos, puede ayudar a detener y detectar los ataques criminales que utilizan la amenaza BEC.
Leave a Reply