Una firma de inversión de Troy, Michigan, es la víctima más reciente de un Compromiso de Correo Electrónico Comercial masivo que robó casi medio millón de dólares después de que un empleado de la compañía fuera engañado para transferir dinero a una cuenta bancaria de Hong Kong.
El departamento de policía de Troy recibió la denuncia de Pomeroy Investment Corporation el 18 de abril, que involucraba a uno de los empleados de la firma que había transferido $495 mil dólares a un banco de Hong Kong después de recibir una solicitud de correo electrónico que supuestamente provenía de un compañero de trabajo.
“Antes, era típico que los empleados de la compañía se comunicaran por correo electrónico para hacer transferencias de fondos, incluso al extranjero”, declaró el Sargento de la policía de Detroit Meghan Lehman al periódico The Detroit News. “Pero en este caso, alguien hackeó la cuenta del emisor que solicitaba los fondos”. Pasaron sólo ocho días después de la transacción para que la compañía determinara que el correo electrónico era falso y se dieron cuenta de que habían sido defraudados.
Pomeroy Investment Corp. es una del número cada vez mayor de compañías que han sido víctimas de los esquemas de compromiso del correo electrónico comercial (BEC). En febrero pasado, The Scoular Company, una comercializadora de productos básicos de Omaha, Nebraska, perdió $17.2 millones de dólares cuando uno de sus ejecutivos transfirió fondos a un banco de China después de recibir correos electrónicos que le instruían hacerlo. Incluso compañías como Snapchat, Seagate y Mansueto Ventures fueron víctimas de fraudes similares que expusieron la información de nómina y fiscal de sus empleados.
En uno de sus anuncios, el FBI observó un alarmante aumento de 270% en pérdidas reportadas y víctimas de los fraudes de BEC desde enero de 2015. La agencia también reportó haber recibido quejas de 17,642 víctimas de octubre de 2013 a febrero de 2016, lo que le ha costado a las empresas $2,400 millones de dólares en pérdidas.
BEC es un fraude sofisticado que ataca a empleados, ejecutivos y empresas que se sabe hacen negocio con compañías extranjeras y realizan transferencias electrónicas con regularidad. Se realiza al comprometer cuentas de correo electrónico a través de la ingeniería social o de otras técnicas de intrusión para realizar transferencias de fondos no autorizadas. En casos como el de Pomeroy, los fraudes logran tener éxito porque combinaron elementos para crear un sentido urgencia y legitimidad: aparentemente provienen de una fuente y de un dominio de correo electrónico confiables, y se envían a receptores lógicos. Incluso fueron diseñados cuidadosamente para engañar al receptor para que crea que vienen de un emisor conocido – normalmente el director general, un ejecutivo o director de alto nivel.
La sugerencia que hace el FBI respecto a estos esquemas es que las empresas creen sistemas de detección que puedan marcar los correos electrónicos con nombres de dominio y extensiones similares a los de la compañía. Se recomienda adoptar la autenticación de doble factor y establecer canales de comunicación para verificar las transacciones importantes. También se sugiere a las empresas moderación cuando publiquen la actividad de los empleados en línea, como en un sitio web o los medios sociales de la compañía, pues los scammers pueden utilizar éstos para obtener información para sus ataques.
Los productos de Trend Micro pueden ayudar a defender a las empresas medianas y grandes de estos tipos de amenazas. El InterScan Messaging Security Virtual Appliance con protección mejorada contra ataques de ingeniería social defiende contra los correos electrónicos de ingeniería social. Los correos electrónicos relacionados con BEC son bloqueados por las capacidades de seguridad para endpoints y correo electrónico de las soluciones Trend Micro Smart Protection Suites y Network Defense.
Leave a Reply