El Business Email Compromise (BEC), también conocido como fraude del CEO, es un tipo de ataque de phishing en el que un ciberdelincuente se hace pasar por un ejecutivo de alto nivel para convencer a un empleado, cliente o proveedor de que transfiera dinero a una cuenta fraudulenta o revele información sensible.
Al comprometer las cuentas de correo electrónico oficiales, los delincuentes pueden controlar la actividad en línea y determinar quién tiene las credenciales para iniciar las transferencias de dinero. En la mayoría de los casos, los atacantes se hacen pasar por el director general, el director financiero u otro ejecutivo de nivel superior, y suelen combinar una serie de técnicas de ingeniería social para manipular al usuario y hacerlo actuar.
En los últimos años, se ha producido un fuerte aumento en el número de ataques de Business Email Compromise, y según el último informe de evaluación de riesgos de seguridad del correo electrónico de la empresa de gestión de correo electrónico Mimecast, los ataques BEC han aumentado un 80% sólo en el último trimestre.
Las pérdidas mundiales debidas al compromiso del correo electrónico empresarial han superado los 12.500 millones de dólares, y las víctimas pueden sufrir pérdidas considerables, lo que ha quedado patente en varios ataques recientes de gran repercusión.
En marzo de 2018, la cadena de cines francesa Pathé fue víctima de una sofisticada estafa de Business Email Compromise que le costó más de 19 millones de euros.
El audaz atraco se llevó a cabo cuando los estafadores se hicieron pasar por el director general y convencieron al director general y al director financiero de la oficina holandesa de la marca para que transfirieran los fondos en una serie de cinco transferencias de dinero consecutivas.
A pesar de las sospechas, los delincuentes se las arreglaron para que su estafa pareciera lo más convincente posible creando correos electrónicos casi idénticos al dominio oficial de Pathé. La empresa perdió el 10% de sus ingresos totales y ambos ejecutivos fueron despedidos de sus puestos de trabajo.
El ataque demostró la atención al detalle que los ciberdelincuentes utilizarán para infiltrarse en una empresa, y las consecuencias de gran alcance que un ataque BEC puede tener en una empresa.
Cómo funciona una estafa de compromiso del correo electrónico empresarial
A diferencia de los ataques tradicionales de phishing, que tienden a dirigirse a un gran número de empleados, los ataques BEC están muy focalizados y dirigidos. Los delincuentes dedican mucho tiempo a investigar a las personas que ocupan cargos corporativos de alto nivel antes de lanzar un ataque.
Para que cualquier correspondencia parezca lo más convincente posible, los delincuentes rastrean los sitios web de las empresas, las fuentes en línea y los sitios de redes sociales como LinkedIn para reunir toda la información que puedan sobre su víctima potencial.
Tan pronto como hayan completado su investigación, utilizarán una técnica dirigida como el Spear Phishing para obtener acceso a los sistemas corporativos. Una vez que tienen acceso, los delincuentes pueden observar de cerca cómo se realizan las transacciones financieras antes de lanzar un ataque.
A continuación, el delincuente enviará un correo electrónico falso de lo que parece ser el director general solicitando una transferencia urgente de fondos de un empleado de la organización. El objetivo de alto nivel ayuda a que el correo electrónico se cuele en los filtros de spam, y el uso de una dirección de correo electrónico falsa añade más legitimidad a la solicitud.
Tal es el nivel de detalle, que los delincuentes suelen elegir lanzar su ataque cuando el alto ejecutivo está de viaje de negocios y no puede verificar personalmente la solicitud. Si la víctima ha caído en la estafa, todo el dinero que haya transferido se enviará rápidamente a cuentas situadas en el extranjero, lo que dificulta la recuperación del dinero robado.
Tipos de estafas de compromiso del correo electrónico empresarial
Fraude al director general: en este tipo de ataque, los ciberdelincuentes se hacen pasar por el director general u otro ejecutivo de alto nivel. Una vez que su cuenta ha sido hackeada, y la dirección de correo electrónico suplantada, enviarán un correo electrónico a un empleado solicitando una transferencia de fondos a una cuenta que han configurado específicamente. Los correos electrónicos suelen estar marcados como urgentes para disuadir al empleado de verificar la solicitud o discutirla con otro miembro del personal.
El esquema de la factura falsa - Esta estafa en particular se aprovecha a menudo contra las empresas que utilizan una gran cantidad de proveedores en el extranjero. La empresa recibirá un correo electrónico de lo que parece ser uno de sus proveedores actuales pidiéndoles que cambien el destino del pago. Los pagos se transferirán directamente a la cuenta del estafador.
Compromiso de la cuenta - Este tipo de ataque tiende a ser más común entre las empresas más pequeñas donde cualquier facturación se gestiona directamente a través del correo electrónico. Los ciberdelincuentes piratearán la cuenta de correo electrónico de un empleado e interceptarán cualquier mensaje que contenga una factura. Una vez que han elegido su objetivo, se pondrán en contacto con el proveedor y le informarán de que ha habido un problema con su pago y le pedirán que lo reenvíe a otra cuenta fraudulenta que han creado.
Suplantación de abogado - En esta estafa, los delincuentes se hacen pasar por el bufete de abogados de una empresa y solicitan la transferencia urgente de fondos para hacer frente a un conflicto legal o a una factura impagada. Al empleado se le dice que el asunto es estrictamente confidencial para reducir la posibilidad de que discuta la solicitud con alguien más. Los ataques suelen tener lugar al final de la semana laboral para crear una presión adicional sobre el empleado para que actúe rápidamente.
Robo de datos- Esta es la única estafa BEC que no solicita una transferencia bancaria directa. Los ataques de robo de datos se producen cuando un ciberdelincuente compromete la cuenta de correo electrónico de un alto ejecutivo y solicita que se le envíe información corporativa sensible. Este tipo de ataques tiende a dirigirse a los departamentos de Recursos Humanos y Finanzas, y suele ser el precursor de un ciberataque mayor y más dañino.
Señales de advertencia de un ataque al correo electrónico empresarial
- Transferencia de grandes fondos a un destinatario con el que la empresa no ha tratado nunca.
- Transferencias iniciadas cerca del final de la jornada/semana laboral.
- Correos electrónicos que contienen lenguaje urgente y son de naturaleza secreta.
- Pequeños cambios en una dirección de correo electrónico que imita una dirección comercial legítima.
- La cuenta del destinatario no tiene antecedentes de haber recibido grandes transferencias de dinero en el pasado.
- La cuenta del destinatario es una cuenta personal en lugar de una cuenta comercial registrada.
Cómo prevenir los ataques al correo electrónico de las empresas
- La formación en materia de seguridad es una de las herramientas más eficaces para luchar contra los ataques BEC. La formación periódica garantizará que el personal pueda reconocer los correos electrónicos maliciosos, las tácticas de ingeniería social, identificar las solicitudes sospechosas y seguir los protocolos correctos para tratar las transferencias de dinero.
- Formación para ejecutivos de alto nivel: también es vital que los ejecutivos de alto nivel reciban una formación específica para su función que aborde las amenazas únicas a las que se enfrentan en el día a día.
- Los empleados deben cuestionar y verificar todas las solicitudes confidenciales, especialmente las consideradas urgentes por el director general u otros altos ejecutivos de la empresa.
- Reducir al mínimo el número de empleados con autoridad para transferir fondos.
- Utilice la autenticación multifactor en todas las cuentas de correo electrónico.
- Implantar un proceso de verificación en dos pasos para todos los pagos que incluya una comprobación no electrónica, como una autenticación telefónica o verbal.
- Desarrollar procedimientos escritos para la aprobación de todas las transacciones financieras.
- Envíe todos los correos electrónicos a través de un servidor cifrado.
- No publique información sensible en los sitios web de la empresa ni en las redes sociales.
- Considere el uso de un banner de correo electrónico que notifique a los empleados si un correo electrónico proviene de una fuente externa.
Los empleados representan la mayor amenaza para la seguridad de una organización, por lo que es vital que estén equipados con las habilidades necesarias para prevenir un ciberataque. MetaLearning Fusion es la nueva generación de eLearning y ha sido diseñado específicamente para proporcionar la mejor formación posible en materia de ciberseguridad y privacidad para su personal. Las organizaciones pueden crear cursos a medida para su personal a partir de una amplia biblioteca de cursos cortos de eLearning. Póngase en contacto con nosotros para obtener más información sobre cómo se puede utilizar MetaLearning para transformar la formación en ciberseguridad dentro de su organización.