2 oct. 2019

¿Qué es el "fraude del CEO" o BEC?

El objetivo es engañar a empleados con acceso a los recursos económicos para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía. Para ello el estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía». Así describe Interpol la esencia del fraude del CEO (así conocido por la denominación anglosajona del director ejecutivo), la picaresca que ha puesto cuatro millones de la EMT en manos de delincuentes casi de un plumazo. Con este fraude del CEO se estafó por 4 millones de euros a la EMT de Valencia.

Este es un ejemplo de la vida real de un ciberataque conocido como fraude del CEO o email corporativo comprometido o BEC, las siglas en inglés de Business Email Compromise.

Los ataques relativamente poco sofisticados y dependen más de la ingeniería social y del engaño que del hackeo tradicional. Los cibercriminales simplemente imitan la dirección del correo electrónico de un ejecutivo de una empresa y envían un pedido convincente a un empleado incauto.

El mensaje parece como si proviniera del jefe, pero fue enviado por un impostor. A grandes rasgos, es una modalidad más avanzada de 'phishing': el envío de correos electrónicos en busca de claves secretas de las víctimas para saquear dinero de sus cuentas. En este caso, el objetivo es toda una empresa, lo que requiere una mayor elaboración.
En el fraude del CEO los estafadores juegan con una baza: la obediencia, a veces ciega, de un empleado hacia el 'jefazo'. Aunque la petición escape a los protocolos habituales. Es aquello de 'si me lo pide el jefe, tendré que obedecer'. Por esto la clave es "la concienciación y advertencia a directivos y empleados sobre los mecanismos de estafa para que se detecten a tiempo".

A menudo hay una cierta urgencia en el mensaje y empleado simplemente hace lo que le dicen, quizás enviando grandes sumas de dinero a criminales por error.

Estas estafas están en aumento y según el FBI en Estados Unidos, han resultado en pérdidas mundiales de al menos US$26.000 millones desde 2016.

A principios de este mes, fueron arrestados 281 supuestos delincuentes en 10 países diferentes como parte de una operación masiva contra redes cibercriminales globales vinculadas a las estafas.

Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, una empresa de seguridad cibernética basada en California, dice: "El email corporativo comprometido es el problema más costoso en toda la seguridad cibernética. No hay ninguna otra forma de crimen cibernético con el mismo grado de alcance en términos de pérdidas monetarias".

Blancos no ejecutivos

Los blancos tradicionales de un ataque BEC son los personajes de nivel ejecutivo de las grandes compañías, como los presidentes ejecutivos o directores de finanzas.

Pero recientemente los criminales se han dirigido a niveles de menor jerarquía. "La gente más atacada que vemos ahora raramente son VIP (personas muy importantes). Las víctimas tienden a tener emails fácilmente localizables o direcciones compartidas que pueden adivinarse con facilidad".

"Los VIP, como regla, tienden a estar menos expuestos ya que ahora las organizaciones están por lo general haciendo un buen trabajo para proteger las direcciones de correo electrónico de sus VIP", agrega Kalember.

La tendencia también ha sido notada por la compañía de seguridad cibernética Cofense. En algunos casos, los emails de empleados son imitados y el atacante pide al departamento de recursos humanos que envíe el salario de una víctima hacia una nueva cuenta bancaria.

Cuidado con los lunes

Otro método que se ve con más regularidad son los emails de estafa que son enviados los lunes en la mañana.

Según Proofpoint, más del 30% de los emails BEC llegan los lunes ya que los delincuentes tratan de capitalizar los trabajos pendientes del fin de semana.

Lo que esperan es que con este retraso se pueda engañar con más facilidad a los empleados con emails falsos y otros trucos de ingeniería social. "Los atacantes saben cómo funcionan las personas y las oficinas. Dependen de que la gente cometa errores y tienen mucha experiencia con lo que funciona. No se trata de una vulnerabilidad técnica, se trata de error humano", dice Kalember.

Reenvíos falsos

Las conversaciones de correo electrónico falsas son parte de otra técnica que ha evolucionado. Los atacantes comienzan la línea del asunto de sus emails con "Re:" o "Fwd:", para que su mensaje parezca parte de un conversación previa.

En algunos casos, incluso incluyen un historial falso del email para establecer su aparente legitimidad.

Según investigadores, los intentos fraudulentos que usan esta técnica se han incrementado en más de 50% año tras año.

Kalemeber asegura que todas estas tendencias siguen un patrón predecible basado en nuestra propia conducta. "Una de las razones por las que este problema es particularmente difícil de erradicar es que éste depende del riesgo sistemático de que todos nosotros confiamos en los emails como medio de comunicación", afirma.

Desafortunadamente para las empresas y los empleados, es poco probable que los BEC desaparezcan Las estafas con emails son técnicamente muy simples, y los servicios en internet que se usan gratuitamente ofrecen pocas barreras para entrar.

Pero hay muchas cosas que las compañías y los empleados pueden hacer, como ser cautelosos y estar conscientes de los ataques.

Las compañías pueden insistir la llamada verificación de dos factores antes de enviar un pago.Todo esto, por supuesto, depende de que la gente de un paso atrás frente a lo que a menudo se pide en los lugares de trabajo: velocidad y eficiencia.

Según el FBI hay cinco escenarios principales relacionados por BEC

Estafa del proveedor

El objetivo es una empresa que trabaja con proveedores extranjeros. En este escenario la empresa víctima tiene una larga relación comercial con un proveedor. El atacante suplanta a éste y solicita transferir fondos para el pago de una factura a una cuenta alternativa distinta a la habitual. La solicitud puede hacerse por teléfono, fax o correo electrónico y en el caso del correo electrónico se falsificará la dirección del correo e imagen corporativa del proveedor para que sea similar al real.

Fraude del CEO

Algún Directivo de una compañía (CEO, Director Financiero, etc.) recibe o inicia una solicitud de transferencia mediante su correo electrónico corporativo. En este caso habitualmente la cuenta puede haber sido falsificada o hackeada. Esta solicitud se hace un segundo empleado dentro de la empresa que generalmente es responsable para procesar estas solicitudes. En algunos casos, aunque mucho menos habituales, la solicitud de la transferencia bancaria se envía directamente a la institución financiera con instrucciones para enviar fondos urgentemente un cierto banco dando una razón aparentemente legítima.

Suplantación de comunicaciones comerciales

Un empleado de una cierta empresa, habitualmente del departamento de ventas o facturación ve comprometida su cuenta de correo personal. A partir de la lista de clientes de la empresa y lista de contactos del empleado se enviarían solicitudes de pago de facturas a clientes pero dirigidas a nuevas cuentas bancarias controladas por los estafadores. En este caso es posible que la empresa no se dé cuenta de las actividades fraudulentas hasta que algún cliente se pusiera en contacto con esa empresa para hacer un seguimiento del estado de un pago de factura.

Suplantación de abogados

En este escenario el modo de actuación es que los estafadores generalmente se identifican como abogados o representantes de bufetes de abogados e indican estar involucrados en un caso muy sensible representando a la compañía. Este contacto puede hacerse por teléfono o correo electrónico y el atacante suele presionar a las víctimas para que actúen rápida o secretamente para llevar a cabo una transferencia rápida de fondos en concepto de provisión o adelanto de los gastos de representación. Este tipo de estafa BEC puede ocurrir al final del día hábil o la semana y se sincronizará con el cierre semanal de las instituciones financieras internacionales.

Robo de datos

Las solicitudes fraudulentas se envían utilizando el correo electrónico comprometido de un Directivo. Los destinatarios habituales suelen ser personal del departamento de recursos humanos, de contabilidad o de auditoría interna con el fin de obtener listados con información de datos personales de empleados y directivos, salarios, roles o funciones o información financiera, de impuestos o contable. Habitualmente son un paso previo a otro tipo ataque BEC y se utiliza para obtener información corporativa para que el ataque con objetivo económico tenga más probabilidades de ser exitoso. Éste es el tipo de ataque suele ser el más difícil de suele detectar.

El funcionamiento de una estafa BEC inicia con la investigación de la empresa objetivo. Un atacante examinará la información disponible públicamente sobre su empresa desde su sitio web, comunicados de prensa e incluso publicaciones en redes sociales. Igualmente se obtendrá información de los nombres y títulos oficiales de los directivos de la compañía, su jerarquía corporativa e incluso planes de viaje o agenda a partir de respuestas automáticas por correo electrónico o mediante ingeniería social usando llamadas a la secretaría o recepción haciéndose pasar por un contacto lícito.

El atacante intentará obtener acceso a la cuenta de correo electrónico de ese directivo o empleado mediante ataques por fuerza bruta, ingeniería social, etc. Si lo consigue, para no ser detectado, lo habitual es definir ciertas las reglas de la bandeja de entrada para redirigir los correos o cambiar la dirección de respuesta en los envíos para que cuando se ejecute la estafa, el ejecutivo no sea alertado.

El método más habitual es el email spoofing o lo que viene a ser lo mismo crear un correo electrónico con un dominio falso, pero que parezca una dirección de correo electrónico legítima y así se engaña a la víctima para que piense que proviene de alguien que no lo hizo.

Fuente: BBC | Las Provincias

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!