Fraudes Multimillonarios: Los Números Detrás del Compromiso del Correo Electrónico Comercial

En los últimos dos años, los esquemas de Compromiso del Correo Electrónico Comercial (BEC) han provocado pérdidas que ascienden a por lo menos $2,300 millones de dólares en aproximadamente 12,000 empresas de todo el mundo, de acuerdo con cifras dadas a conocer recientemente por el FBI. El número de víctimas aumentó 270 por ciento durante los primeros ocho meses de 2015, lo que representa una pérdida promedio de $130,000 dólares en cada caso. El daño potencial y la efectividad de estas campañas urgió al FBI a emitir un anuncio de servicio público en el que detalla cómo se llevan a cabo los fraudes de BEC y el gran daño que pueden provocar a los empleados y las compañías que atacan.

17,642

Número de víctimas de por lo menos 79 países

$2,300,000,000

Pérdida Estimada

El número de víctimas y la pérdida estimada de 2013 a 2015.

¿Cómo funcionan las tácticas de BEC?

El FBI define a los Compromisos del Correo Electrónico Comercial como un fraude sofisticado que ataca a empresas que trabajan con socios extranjeros, y que regularmente realizan pagos mediante transferencias de dinero. Conocido anteriormente como fraude Man-in-the-Email, BEC comienza normalmente cuando las cuentas de correo electrónico de los ejecutivos de las empresas son comprometidas y falsificadas, y el defraudador envía correos electrónicos a los empleados desprevenidos a quienes se les instruye girar grandes sumas de dinero a cuentas ubicadas en el extranjero.

Aunque en algunos casos se utiliza malware, las tácticas de BEC son conocidas por depender exclusivamente de las técnicas de ingeniería social, lo que los hace muy difíciles de detectar. Los incidentes recientes mostraron la manera en que los empleados son engañados por correos electrónicos que se hacían pasar como mensajes legítimos de los ejecutivos de una compañía solicitando información.

El fraude BEC tiene tres versiones:

Versión 1: El esquema de la Factura Falsa

Esta versión, que también se ha conocido como “El Esquema de la Factura Fraudulenta”, “La Estafa del Proveedor” y “El Esquema de Modificación de Facturas”, involucra normalmente a una empresa que trabaja con un proveedor extranjero. El defraudador contacta al cliente por teléfono, fax o correo electrónico para solicitar cambiar el lugar de pago de la factura o que los fondos para el pago de una factura se envíen a una cuenta alterna fraudulenta.

Versión 2: El Fraude del CEO 

En esta versión, los defraudadores falsifican una cuenta de correo electrónico de un ejecutivo de la empresa. Una solicitud hecha aparentemente a nombre de dicho ejecutivo se envía entonces a un segundo empleado para pedirle hacer una transferencia a una cuenta que controla el defraudador. En algunos casos, se envía directamente a la institución financiera la solicitud fraudulenta de una “transferencia electrónica urgente” con instrucciones para enviar con urgencia los fondos a un banco. Este fraude es conocido como el “Fraude del CEO”, “El Fraude del Ejecutivo Comercial”, “Suplantación” y “Fraudes Electrónicos de la Industria Financiera”.

Versión 3: Cuentas Comprometidas

Se hackea, no se falsifica, el correo electrónico de un empleado de la empresa “A”. Las solicitudes de los pagos de las facturas se envían desde el correo electrónico de este empleado a varios proveedores que se encuentran en la lista de contactos del empleado, normalmente involucrando solicitudes de pagos enviados a las cuentas controladas por los defraudadores.

Los países más afectados por las tácticas de BEC

Qué posiciones dentro de las compañías son las más falsificadas en las tácticas de BEC

Las tácticas de BEC utilizan las técnicas de ingeniería social para hacerse pasar por un empleado de la compañía que se ha puesto en la mira. De acuerdo con el monitoreo de los correos electrónicos utilizados para los esquemas de BEC, los criminales cibernético a menudo utilizan la posición del Director General (CEO) en sus ataques. Estos criminales envían correos electrónicos como si fueran el director de la compañía y le instruyen a su objetivo hacer transferencias de dinero. Otras posiciones dentro de las compañías que se han utilizado para realizar fraudes BEC son los presidentes y los directores ejecutivos.

CEO 31%

Presidente 17%

Director Ejecutivo 15%

Presidente y CEO 13%

Gerente General 4%

Otros 20%

Las posiciones dentro de las compañías que utilizan los defraudadores

Qué posiciones dentro de la compañía son las más atacadas por las tácticas de BEC 

Los empleados del departamento de finanzas de las compañías son los objetivos más comunes dentro de las tácticas de BEC, El Director de Finanzas (CFO), fue la posición más común de nuestro monitoreo. Esto tiene sentido, si se considera que estos empleados son los que comúnmente estan a cargo de tareas como la transferencias de fondos a terceros.

CFO 40.38%

Director de Finanzas 9.62%

Controlador Financiero 5.77%

Contador Financiero 3.85%

Director Financiero 3.85%

Otros 36.53%

Los receptores más atacados

Qué asuntos de correo son los más utilizados en las tácticas de BEC

A pesar del gran impacto que las tácticas de BEC han tenido, el análisis del flujo de ataques revela que sus componentes son sorprendentemente triviales. El análisis de los asuntos de los correos electrónicos que se utilizan en las tácticas de BEC reveló que la mayoría son simples y vagos, a veces compuestos por una sola palabra. Sin embargo, el hecho de que dichas técnicas sean efectivas demuestra que conocen a sus víctimas lo suficiente para provocar una acción.

Solicitud para {día} {mes}, {año}

Transferencia 

Solicitud 

Urgente 

Solicitud de Transferencia

Asuntos de correo electrónico utilizados

Cuáles son las herramientas que utilizan los criminales cibernéticos en las tácticas de BEC

Las herramientas que se utilizan en estos ataques también son otro indicio de lo sencillo que es para los criminales llevarlos a cabo. La mayoría del malware que se utiliza en las tácticas de BEC son variantes que están a la venta, los cuales pueden comprarse fácilmente en línea por un precio bastante bajo. Hay malware que puede comprarse por hasta $50dólares, mientras que puede encontrarse también a precios muy bajos, o incluso que está disponible sin costo.

Los incidentes reportados en 2014 mostraron la manera en que los criminales fueron más allá de los métodos de ataque comunes para robar información. En las campañas que utilizaron a Predator Pain y Limitless, los correos electrónicos enviados a los objetivos contenían un keylogger que envía información al criminal. De igual forma, en junio de 2015, dos criminales nigerianos abusaron de pequeñas y medianas empresas usando un keylogger simple llamado HawkEye. Otra campaña de BEC reportada en marzo de 2016 que atacó a 18 compañías en Estados Unidos, en Medio Oriente y en Asia utilizó Olympic Vision, un keylogger simple disponible en línea por $25 dólares.

En marzo de 2016, varias corporaciones y empresas sufrieron ataques similares. Compañías como Seagate y Snapchat figuraron entre las empresas de alto perfil que fueron víctimas de los fraudes por correo electrónico usando los mismos métodos.

Backdoors

HawkEye $35

Agent Tesla $9-$30

Knight Logger $25

Limitless $40

Predator Pain $40

DarkComet Gratuito

Luminosity $39.99

Olympic Vision $25

Vulcan Logger Donación

Keybase $50

Infinity $25-$35

Cyborg $30

Dracula $25

Otras herramientas cibercriminales

Email Crawlers Gratuito

Mass Mailers $69

File scanners $30/mes

Crypters $25-$60

Herramientas utilizadas en BEC

¿Cómo puede defender a su compañía de BEC?

Se recomienda a las empresas enseñar a sus empleados la manera en que operan los fraudes de BEC y otros ataques similares. Estas argucias no requieren de conocimientos técnicos avanzados, utilizan herramientas y servicios que están disponibles en el mercado negro, y sólo hay que comprometer una sola cuenta para robarle a una compañía. A continuación se proporcionan algunos consejos de cómo protegerse contra estos engaños en línea:

Analice cuidadosamente todos los correos electrónicos. Tenga cuidado con los correos electrónicos que parezcan extraños que envíen los ejecutivos de alto nivel, ya que pueden utilizarse con el fin de engañar a los empleados para que realicen una acción con urgencia. Revise y verifique los correos electrónicos que soliciten fondos para determinar si éstas solicitudes salen de lo ordinario.

Cree conciencia entre los empleados. Aunque los empleados son los recursos más grandes de una compañía, también pueden ser el eslabón más débil cuando se trata de la seguridad. Haga el compromiso de capacitar a sus empleados, revisar las políticas de la compañía y desarrollar buenos hábitos de seguridad.

• Verifique los cambios del lugar de pago de los proveedores mediante el uso de una segunda aprobación por parte del personal de la compañía.
• Esté al día con los hábitos de los clientes, incluyendo los detalles y las razones detrás de los pagos.
• Verifique las solicitudes. Confirme las solicitudes de transferencia de fondos mediante la verificación telefónica como parte de la autenticación de doble factor, utilice números conocidos, no los detalles proporcionados en las solicitudes que se hacen vía correo.
• Reporte cualquier incidente de inmediato a las autoridades o presente una queja con el IC3.
• Los Componentes del BEC y lo que Usted Puede Hacer Respecto a Ellos

CORREO ELECTRÓNICO

Las capacidades de seguridad del correo electrónico de las soluciones Trend Micro User Protection y Network Defense pueden bloquear los mensajes utilizados en los ataque de Compromiso de Correo Electrónico Comercial.

INGENIERÍA SOCIAL

InterScan Messaging Security Virtual Appliance, como parte de las soluciones Trend Micro User Protection, ofrece protección mejorada contra ataques de ingeniería social que brinda protección contra los correos electrónico utilizado en los ataques de BEC.

MALWARE 

Las capacidades de seguridad para endpoints de las soluciones Trend Micro User Protection y Network Defense pueden detectar malware avanzado y otras amenazas utilizadas en las tácticas de Compromiso de Correo Electrónico Comercial.