ATAQUES BEC: BUSINESS EMAIL COMPROMISE

Business Email Compromise (BEC), también conocido como compromiso de cuenta de correo electrónico (EAC),

es un tipo de ataque de phishing diseñado por los cibercriminales para hacerse pasar por altos ejecutivos y engañar a los empleados, clientes o proveedores para que transfieran el pago de bienes o servicios a cuentas bancarias alternativas. 

Las cuentas de correo electrónico corporativas o disponibles públicamente de ejecutivos o empleados de alto nivel relacionados con finanzas o involucrados con pagos de transferencias bancarias son falsificadas o comprometidas a través de métodos como phishing para realizar transferencias fraudulentas, lo que resulta en pérdidas de cientos de miles de dólares anuales para las empresas en el mundo.

Esta estafa se lleva a cabo con frecuencia cuando un atacante compromete cuentas de correo electrónico legítimas de un negocio a través de ingeniería social o técnicas de intrusión informática para realizar transferencias no autorizadas de fondos o de información sensible. Generalmente, estos delincuentes envían un mensaje de correo electrónico que parece provenir de una fuente conocida y realiza una solicitud legítima, como en estos ejemplos:

  • Un proveedor con el que su empresa trata regularmente envía una factura con una dirección postal actualizada.
  • El director ejecutivo de una empresa le pide a su asistente que compre docenas de tarjetas de regalo para enviarlas como recompensas para los empleados. Ella pide los números de serie para poder enviarlos por correo electrónico de inmediato.
  • Un comprador de vivienda recibe un mensaje de su compañía de títulos con instrucciones sobre cómo transferir su pago inicial.

Los atacantes de BEC se basan en gran medida en tácticas de ingeniería social para engañar a empleados y ejecutivos desprevenidos. A menudo, se hacen pasar por el director ejecutivo o cualquier ejecutivo autorizado para realizar transferencias electrónicas. Además, los estafadores también investigan cuidadosamente y monitorean de cerca a sus posibles víctimas objetivo y sus organizaciones.

Algunos de los mensajes de correo electrónico de muestra tienen asuntos que contienen palabras como solicitud, pago, transferencia y urgente, entre otras.

En 2021, el IC3 (Internet Crime Complaint Center) recibió 19.954 reportes de compromisos de correo electrónico comercial (BEC)/(EAC) con pérdidas ajustadas de casi $ 2.4 mil millones.

El sistema de ataque y la sofisticación de BEC/EAC ha evolucionado continuamente en el último año. Desde una simple piratería o suplantación de identidad de cuentas de correo electrónico comerciales y personales y una solicitud para enviar pagos electrónicos a cuentas bancarias fraudulentas, hasta el uso de plataformas de reuniones virtuales para piratear correos electrónicos y falsificar las credenciales de los líderes empresariales para iniciar fraude transferencias bancarias. Estas transferencias bancarias a menudo se transfieren inmediatamente a billeteras de criptomonedas, lo que dificulta los esfuerzos de recuperación.

En el mismo sentido, el trabajo híbrido que tanto creció tras la pandemia de COVID-19 ha provocado un cambio significativo en las prácticas de comunicación dentro de las organizaciones. El IC3 observó un surgimiento de nuevos formatos de los ataques BEC/EAC que explotan esta dependencia de reuniones virtuales para instruir víctimas a enviar transferencias electrónicas fraudulentas. Lo hacen comprometiendo los intereses de un empleador o director financiero, que luego usan para solicitar a los empleados que participen en eventos virtuales por medio de plataformas de encuentro. En esas reuniones, el estafador insertaría una imagen fija del director ejecutivo sin audio, o un audio “deep fake” a través del cual los estafadores, actuando como ejecutivos de negocios, luego reclamarían sus el audio/video no funcionaba correctamente. Los estafadores luego usan las plataformas de reuniones virtuales para instruir directamente a los empleados para que inicien transferencias bancarias o utilicen el correo electrónico comprometido de los ejecutivos para proporcionar Instrucciones de cableado.

Según el FBI, existen cinco tipos principales de ataques BEC, que incluyen:

FRAUDE DE CEO:

El atacante se hace pasar por el CEO o cualquier ejecutivo aprovechando las dinámicas de poder de la empresa. Envía un correo electrónico, supuestamente del CEO, instruyendo al destinatario para que tome alguna medida. Esto puede ser para enviar información confidencial a un socio o hacer una transferencia bancaria para “cerrar un trato comercial” solicitando que transfiera dinero a la cuenta que el cibercriminal controla.  

COMPROMISO DE CUENTA:

Una cuenta de correo electrónico comprometida de un ejecutivo o empleado es utilizada para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. Luego, los pagos se envían a cuentas bancarias fraudulentas.

SUPLANTACIÓN DE IDENTIDAD DE ABOGADO:

El atacante se hacen pasar por un abogado o representante legal supuestamente a cargo de asuntos cruciales. Solicita datos o dinero aprovechándose del desconocimiento de los empleados de la organización sobre las solicitudes legales, haciendo que parezcan sensibles al tiempo y confidenciales para evitar la verificación independiente.

ROBO DE DATOS:

Los empleados de recursos humanos y contabilidad están destinados a obtener información de identificación personal (PII). Estos datos se pueden utilizar para futuros ataques. Este tipo de ataque se dirige al personal de recursos humanos y finanzas e intenta robar información confidencial sobre los empleados de una organización. Esta información puede venderse en la Dark Web o usarse para planificar y ejecutar futuros ataques.

ESQUEMA DE FACTURAS FALSAS:

Empresas con proveedores extranjeros a menudo son objeto de esta táctica, en la que los atacantes fingen ser los proveedores que solicitan transferencias de fondos para pagos de servicios realizados para la empresa a una cuenta propiedad de los estafadores. A menudo, en este tipo de ataque se hace pasar por uno de los proveedores reales de una organización y usa una plantilla realista, pero cambia la información de la cuenta bancaria a una cuenta controlada por los atacantes.

Para poder llevar a cabo este tipo de ataque, generalmente el estafador apunta a:

  • Suplantar una cuenta de correo electrónico o un sitio web. Elabora variaciones en las direcciones legítimas para engañar a las víctimas y que piensen que las cuentas falsas son auténticas. (informacion@c2usercisoslab.com vs. info@c2usercisoslab.com.co)
  • Enviar correos electrónicos de phishing. Envía mensajes que aparentan ser de un remitente confiable para engañar a las víctimas para que revelen información confidencial. Esa información les permite a los delincuentes acceder a las cuentas de la empresa y datos que les brindan los detalles que necesitan para llevar a cabo el ataque BEC.
  • Usar software malicioso. El software malicioso puede infiltrarse en las redes de la empresa y obtener acceso a hilos de correo electrónico legítimos sobre facturación y facturas. Esa información se utiliza para cronometrar las solicitudes o enviar mensajes para que los contadores o los funcionarios financieros no cuestionen las solicitudes de pago. El malware también permite que los delincuentes obtengan acceso no detectado a los datos de la víctima, incluidas las contraseñas y la información de la cuenta financiera.

  • Mecanismos antiphishing: dado que los correos electrónicos BEC son un tipo de phishing, la implementación de soluciones antiphishing es esencial para protegerse contra ellos. Una solución antiphishing debe ser capaz de identificar las banderas rojas de los correos electrónicos BEC (como las direcciones de respuesta que no coinciden con las direcciones del remitente) y usar el aprendizaje automático para analizar el lenguaje del correo electrónico en busca de indicaciones de un ataque.
  • Educación de los empleados: los ataques BEC se dirigen a los empleados de una organización, lo que hace que la capacitación en concientización sobre la seguridad del correo electrónico sea vital para la ciberseguridad. Capacitar a los empleados sobre cómo identificar y responder a un ataque BEC es esencial para minimizar la amenaza de esta forma de phishing.
  • Separación de funciones: los ataques BEC intentan engañar a los empleados para que realicen una acción de alto riesgo (como enviar dinero o información confidencial) sin verificar la solicitud. La implementación de políticas para estas acciones que requieren la verificación independiente de un segundo empleado puede ayudar a disminuir la probabilidad de un ataque exitoso.
  • Etiquetado de correos electrónicos externos: los ataques BEC comúnmente intentan hacerse pasar por direcciones de correo electrónico internas mediante la suplantación de dominio o dominios similares. La configuración de programas de correo electrónico para etiquetar los correos electrónicos que provienen de fuera de la empresa como externos puede ayudar a derrotar esta táctica.

Descargue la guía rápida sobre Ataques BEC para acompañar sus campañas de concientización:

AQUÍ