La cantidad total que los ciberdelincuentes intentaron robar a través de estafas de compromiso de correo electrónico comercial (BEC) aumentó en un promedio alarmante de US$ 301 millones por mes, lo que refiere un incremento sustancial del promedio mensual de US$ 110 millones que se realizó un seguimiento en 2016, esto es según un informe de la Red de Ejecución de Delitos Financieros del Departamento del Tesoro de los Estados Unidos (FinCEN). Además, el número de informes de actividades sospechosas relacionadas con BEC aumentó aproximadamente a 500 por mes en 2016 a más de 1.000 en 2018. El informe refleja el anuncio que realizó la Oficina Federal de Investigaciones (FBI) de que las pérdidas globales acumuladas debido a las estafas de BEC ya habían superado los US$ 12 mil millones a partir de 2018, más del doble del total de US $ 5.3 mil millones registrado en diciembre de 2016.
Cambiando métodos a medida que crece la conciencia
A medida que crece la conciencia de la estafa, los métodos utilizados por los actores de amenazas de BEC también han cambiado en consecuencia. La técnica utilizada anteriormente por los estafadores, que se hacían pasar por el presidente o el CEO de una empresa de manera falsa, se redujo del 33 % en 2017 al 12 % en 2018. En contraste, el uso de facturas de clientes falsos aumentó del 30 % al 39 % anual de un año a otro, de 2017 a 2018. Los actores de amenazas de BEC también comenzaron a hacerse pasar por personas ajenas a la organización, y esos informes representan el 20 %. Estos típicamente involucran a un agente inmobiliario que representa una transacción de bienes raíces. Trend Micro ha informado sobre cómo la industria de bienes raíces se ha convertido en un punto de acceso para los estafadores de BEC, donde el intercambio de fondos entre múltiples partes es común.
Industrias dirigidas
De acuerdo con los hallazgos de FinCEN, los sectores de manufactura y construcción fueron las principales industrias objetivo tanto para 2017 como para 2018, representando el 20 % de todos los intentos de BEC rastreados en 2017 y el 25 % en 2018. Una posible razón para el gran porcentaje de empresas de manufactura y construcción a las que se dirige los ataques de BEC es que realizan transacciones regulares con proveedores extranjeros, que a menudo requieren pagos mediante transferencia bancaria, lo que indica el 33 % de las empresas de la industria.
Los servicios comerciales, que incluyen negocios minoristas y restaurantes, tuvieron el aumento más significativo, al pasar del 6 % en 2017 al 17 % en 2018. Por otro lado, los servicios financieros cayeron del 16 % al 9 %. Sin embargo, el 50 % de las estafas de BEC dirigidas a las empresas financieras fueron haciéndose pasar por el CEO o el presidente.
El tipo de industria objetivo también dependía de la región. Por ejemplo, las organizaciones financieras eran los objetivos principales en Nueva York, mientras que las empresas de manufactura y construcción estaban en la cima en Texas.
Defensa contra ataques BEC
Una de las razones por las que BEC sigue siendo una estafa popular es que no requiere herramientas sofisticadas: la ingeniería social y un truco convincente a menudo pueden ser suficientes para engañar incluso al ejecutivo de negocios más cauteloso.
Para evitar que las compañías caigan en los ataques BEC, tanto el personal de la compañía como los socios comerciales deben hacer un esfuerzo concertado para practicar la prudencia y aumentar la conciencia de seguridad dentro de la organización. Estas son algunas de las mejores prácticas para aplicar:
Las transferencias de fondos y las solicitudes de pago, especialmente aquellas que involucran grandes cantidades, siempre deben verificarse, preferiblemente contactando al proveedor a través de una llamada telefónica y confirmando la transacción. Si es posible, una persona secundaria en la organización también debe hacer una aprobación.
Busque banderas rojas cuando se trata de transacciones comerciales. Por ejemplo, un cambio en la información de la cuenta bancaria sin previo aviso es una bandera roja y una posible señal de un intento BEC.
Los actores de amenazas de BEC intentan hacerse pasar por un miembro de la empresa, o al menos como un individuo conectado con la organización. Los empleados siempre deben examinar los correos electrónicos recibidos en busca de elementos sospechosos, por ejemplo, el uso de dominios inusuales o cambios en las firmas de correo electrónico.
Además, las empresas también pueden considerar el uso de una tecnología de seguridad diseñada para luchar contra las estafas de BEC, como Writing Style DNA, que es utilizada por Trend Micro ™ Cloud App Security ™ y ScanMail ™ Suite para Microsoft® Exchange ™. Estas soluciones pueden ayudar a detectar tácticas de suplantación de correo electrónico utilizadas en BEC y estafas similares. Además, utiliza inteligencia artificial (AI) para reconocer el ADN del estilo de escritura de un usuario basado en correos electrónicos pasados y luego lo compara con las falsificaciones sospechosas. La tecnología verifica la legitimidad del estilo de escritura del contenido del correo electrónico a través de un modelo de aprendizaje automático que contiene las características de escritura del remitente del correo electrónico legítimo.
Leave a Reply