Business Email Compromise (BEC) es una amenaza de ciberseguridad de rápido crecimiento a la que se enfrentan todas las empresas, especialmente las pequeñas y medianas (PYMES). El Centro de Quejas de Delitos en Internet (IC3) del FBI dijo en su Informe de Delitos en Internet 2020 que manejó 19,369 quejas de compromiso de correo electrónico empresarial (BEC) que representan más de € 1.8 mil millones en pérdidas, ajustadas en los Estados Unidos para ese año.
Sobre el Autor
Christopher Budd es director global senior de comunicaciones sobre amenazas en Avast.
Los ataques BEC utilizan principalmente el correo electrónico, pero se pueden realizar mediante mensajes SMS, mensajes de correo de voz e incluso llamadas telefónicas. Los ataques BEC son notables porque se basan en gran medida en las llamadas técnicas de "ingeniería social", lo que significa que utilizan trucos y engaños contra las personas.
Los ataques BEC pueden ser muy efectivos y cualquiera puede ser víctima de ellos, independientemente de su riqueza o sofisticación. En febrero de 2020, Barbara Corcoran, la empresaria estadounidense, inversora y jueza del reality show empresarial "Shark Tank", casi perdió casi € 400,000 en una estafa de BEC. Afortunadamente, una acción rápida le devolvió el dinero. Pero las estadísticas del FBI muestran que no todo el mundo es tan afortunado.
Debido a que los ataques BEC dependen en gran medida de la ingeniería social, el software de seguridad tradicional no siempre protege contra ellos. Esto significa que usted y sus empleados desempeñan un papel importante en la protección contra ellos, y por qué es importante comprender qué son los ataques BEC y cómo funcionan.
การโจมตีของ BEC ทำงานอย่างไร
Si bien hay muchas formas en que los ataques BEC pueden desarrollarse, todas se reducen a una fórmula simple. Un atacante intentará convencer a un empleado de que envíe dinero a los atacantes haciéndose pasar por alguien en quien confía.
Los delanteros a menudo intentarán acumular las probabilidades de dos maneras. Primero, intentan hacer que su ataque sea creíble a través de quien eligen suplantar. En segundo lugar, intentan crear un sentido de urgencia para que sea menos probable que la víctima prevista cuestione la transacción y tenga menos probabilidades de pasar por los canales adecuados para los pagos que podrían detectar la estafa.
A veces, los atacantes combinan inteligentemente estas dos tácticas para mejorar la eficiencia.
Por ejemplo, un tipo de ataque BEC que hemos visto involucra a un empleado que recibe un mensaje urgente del CEO u otro gerente senior diciéndoles que necesitan que el empleado pague una factura vencida o reciba pagos. Tarjetas de regalo para un evento empresarial urgente. un medio. Podrían ser correos electrónicos o mensajes de texto, pero los atacantes incluso utilizaron tecnología falsificada para imitar los mensajes de correo de voz y las llamadas. Un ejecutivo en 2019 perdió 220.000 € (aproximadamente 243.000 dólares) en un ataque como este cuando los atacantes utilizaron tecnología falsificada para hacerse pasar por su CEO.
En otro tipo de ataque BEC, los atacantes utilizan cuentas de correo electrónico falsas y comprometidas para convencer a un empleado de que están tratando con un proveedor legítimo. Los atacantes pueden intercambiar varios correos electrónicos con la víctima objetivo para convencerlos de que son un vendedor real y luego enviarles una factura falsa. Así se desarrolló el ataque a Barbara Cocoran.
Un tercer tipo de ataque BEC se dirige a las nóminas corporativas. En estos casos, los atacantes se hacen pasar por empleados e intentan engañar al personal de nómina de la empresa para que cambie la información de depósito directo del empleado a su propia cuenta bancaria. Estos ataques son más sutiles y toman más tiempo, pero pueden ser muy efectivos.
En casi todos los casos, el objetivo de los atacantes BEC es obtener dinero de una de dos formas: transferencia electrónica de fondos (incluida la criptomoneda) o tarjetas de regalo. Si bien el uso de tarjetas de regalo para un ataque como este puede resultar sorprendente, los atacantes descubrieron que era una forma fácil de transferir y blanquear dinero.
วิธีป้องกันตนเองจากการโจมตีของบีอีซี
Los ataques BEC son ataques de fraude realmente pasados de moda que utilizan la tecnología actual; hemos visto este tipo de estafa mucho antes de que existieran correos electrónicos o mensajes de correo de voz. Dado que estos no son ataques basados en tecnología, esto significa que las soluciones basadas en tecnología no serán tan efectivas contra estos ataques como contra, por ejemplo, ransomware. Un correo electrónico BEC bien elaborado, por ejemplo, es difícil para que el software de seguridad lo distinga de un correo electrónico legítimo, especialmente si proviene de la cuenta real, pero comprometida, de alguien en quien confía.
Esto significa que la protección contra los ataques BEC debe centrarse en dos cosas: usted y sus empleados.
Primero, infórmese a sí mismo y a sus empleados sobre los ataques BEC. Usted y sus empleados deben aprender a sospechar cuando llega un correo electrónico inesperado del director ejecutivo que dice "Necesito que obtenga € 5,000 en tarjetas de regalo para una fiesta de cumpleaños hoy, envíeme los números y no se lo digas a nadie", dice un largo camino hacia prevenir tales ataques.
En segundo lugar, refuerce la importancia de verificar las solicitudes de pago y seguir las reglas establecidas para pagar facturas, cambiar la información de depósito directo y comprar y enviar tarjetas de regalo. Por ejemplo, informe a los empleados que deben llamar a un empleado o proveedor para solicitar el pago. Asegúrese de que sepan cómo usar el número que tiene registrado y verifique que la factura o solicitud sea legítima antes de hacer cualquier otra cosa. Enfatice que incluso si las solicitudes parecen provenir de personas de alto nivel en su empresa, los empleados siempre deben verificar. Los atacantes intentan convencer a las víctimas objetivo de que mantengan estos ataques en secreto para aumentar sus posibilidades de éxito, y se aprovechan de la renuencia de los empleados a interrogar a los responsables. Deje en claro que los empleados pueden y deben plantear problemas en situaciones como esta.
En última instancia, los ataques BEC tienen éxito porque los atacantes engañan a sus víctimas haciéndoles creer su engaño. Aunque los ataques BEC utilizan tecnología, en realidad son solo una variación moderna de fraudes y estafas ancestrales. Y para frustrarlos, por tanto, es necesario adaptarse a los nuevos modos de funcionamiento de estos viejos fraudes.
La buena noticia es que con la formación y la educación adecuadas, y siguiendo las políticas y los procedimientos adecuados, puede frustrar estos ataques. Todo lo que necesita hacer es tomarse el tiempo para informarse a sí mismo y a sus empleados sobre estas estafas, cómo funcionan y la forma correcta de tratar las solicitudes de pago sin importar cómo se transmitan.