La BBC informa que una compañía de medios con sede en Escocia ahora está demandando a un ex empleado que cayó en una estafa de Compromiso de Correo Electrónico Comercial (BEC). En la estafa, el empleado recibió correos electrónicos que parecían ser del director general y solicitó transferencias bancarias. El empleado intercambió correos con su gerente de línea recibiendo un primer pago y luego se realizaron 3 pagos subsiguientes mientras su gerente directo estaba de vacaciones. En total, £ 193.250 fueron transferidos a los estafadores. La compañía recuperó £ 85.000 de su banco e interpuso una demanda al empleado, quien ya había sido despedido por el incidente y adicional, por el saldo restante de £ 108.000 puesto que ignoró una advertencia de seguridad del banco sobre las estafas de transferencias bancarias.
Es hora de dejar de culpar a las víctimas de las estafas de correo electrónico y, en su lugar, implementar la capacitación de los usuarios, los controles de seguridad y de proceso para evitar que se produzcan estafas de Compromiso de Correo Electrónico.
Entrena a tus empleados – Es gratis
En este caso, el empleado afirma que nunca recibió capacitación de la compañía sobre cómo detener un fraude en línea. Al igual que muchos empleados, cuando parece que una solicitud de correo electrónico proviene de un ejecutivo, el destinatario suele estar tan concentrado en mostrarse receptivo, que no se da cuenta de que el correo electrónico podría ser una suplantación de identidad.
Es importante asegurarse de que sus empleados estén al tanto de estos ataques y puedan buscar signos de que el correo que reciben podría ser un fraude. Capacítelos para que no respondan, o abran un archivo adjunto o eventualmente hagan clic en un enlace cuando un correo electrónico sea sospechoso o inesperado.
La simulación gratuita de phishing y la capacitación del usuario están disponibles con Trend Micro Phish Insight. Con él, puede enviar correos electrónicos de prueba de phishing a sus usuarios, recompensar y reconocer a los empleados que identifican los correos electrónicos como sospechosos y ofrecer capacitación a quienes más lo necesitan. Phish Insight es gratis para todas las organizaciones.
Prevenga las estafas de BEC con Email Security
Los correos electrónicos de BEC generalmente no tienen un archivo adjunto malicioso o URL maliciosas, se basan únicamente en la ingeniería social. Esto dificulta la detección, ya que no cuentan con controles de seguridad diseñados específicamente para detectar estos ataques. Cloud App Security para Office 365 utiliza dos métodos de AI para detectar fraudes BEC. El primero es un sistema de reglas que se basa en la ingeniería social y los comportamientos de los atacantes. Entre las reglas, hay una que busca coincidencias tanto de los nombres como el de los usuarios de alto perfil para mostrar al remitente cuando el correo electrónico proviene de un dominio de cuenta gratuita. Un modelo de aprendizaje automático decide la mejor manera de pensar y aplicar todas las reglas para la detección más precisa.
Writing Style DNA se emplea para detectar los intentos de suplantación más difíciles de detectar. Este sistema crea un modelo de IA del estilo de escritura de usuarios de alto perfil, como los ejecutivos. El modelo se crea extrayendo metadatos de correos electrónicos enviados previamente.
Cuando llega un correo electrónico con un nombre coincidente o similar a un usuario de alto perfil, y el sistema de reglas experto aún no lo ha descartado, entonces el sistema de estilo de la escritura dentro del correo electrónico se compara con el modelo de AI para identificar el alto perfil del usuario. Puedes ver cómo funciona en este breve vídeo.
Controles de proceso
Además de la capacitación del usuario y los controles de seguridad, su organización también debe examinar sus procedimientos de transferencia bancaria y asegurarse de que se requieren dos aprobaciones. El FBI proporciona pautas para los pasos adicionales con el propósito de fortalecer a su organización contra estos ataques. Junto con la capacitación del usuario, los controles de seguridad y de procesos, podemos detener las pérdidas de $ 12 mil millones a las estafas de Compromiso de Correo Electrónico.
Leave a Reply