Saltar al contenido principal Saltar al menú principal Saltar al pie

Esquemas de fraude por correo electrónico comprometido

Esquemas de fraude por correo electrónico comprometido

Disminuir el tamaño del texto Aumentar el tamaño del texto

Página del artículo

Business Email Compromise (BEC) es una estafa sofisticada dirigida a empresas que trabajan con proveedores extranjeros y/o empresas que realizan pagos mediante transferencias bancarias de forma regular. La estafa se lleva a cabo comprometiendo cuentas de correo electrónico comerciales legítimas mediante ingeniería social o técnicas de intrusión informática para realizar transferencias de fondos no autorizadas.

Qué hacer SI y CUANDO se produce un BEC

Tenga un plan de continuidad del negocio (BC) para SI y CUANDO ocurra una BEC.
  • INMEDIATAMENTE
    • Comuníquese con su equipo bancario por teléfono y correo electrónico. SEPA A QUIÉN CONTACTAR: Ventas, Servicio, TODOS.
    • Asegúrese de que TODOS los empleados tengan INFORMACIÓN DE CONTACTO bancaria.
    • Informar al equipo bancario sobre la transacción. Tener suficientes detalles para transmitir lo sucedido.
    • Si es posible, proporcione una captura de pantalla del cable saliente.
    • Una vez informado, el Equipo Bancario deberá alertar a la División de Fraude Corporativo sobre la transacción.
    • Banco beneficiario
      • Solicitar que se envíe una solicitud de devolución de transferencia bancaria. La institución financiera debe enviar una solicitud de devolución de transferencia bancaria en nombre del Cliente con un mensaje que indique que la transferencia bancaria no fue autorizada o que fue resultado de un BEC. La medida adoptada tiene como objetivo facilitar cualquier recuperación.
      • Recopilar toda la información relevante asociada con el acuerdo comercial (es decir, correos electrónicos con instrucciones de transferencia bancaria) para proporcionarla a la División de Fraude de la Institución Financiera y completar cualquier formulario innecesario según se solicite (es decir, declaraciones juradas).
      • Complete el formulario de denuncia por Internet (IC3) del FBI en línea o comuníquese directamente con el FBI de inmediato. Puede presentar una denuncia ante el departamento de policía local.
      • SI y CUANDO la institución financiera recupere exitosamente los fondos (si hay fondos disponibles), los fondos serán devueltos a la cuenta de origen.

Desarrollar un plan de respuesta BEC

Cuanto antes denuncie un ataque BEC, mayores serán sus posibilidades de recuperar las pérdidas. Asegúrese de tener un plan para notificar de inmediato el fraude a su institución financiera. 

  • Para transferencias bancarias internacionales superiores a $50,000, llame a su oficina regional del FBI (https://www.fbi.gov/contact-us/field-offices) y la policía local. El FBI ofrece un proceso de Cadena de Eliminación de Fraude Financiero (FFKC, por sus siglas en inglés) para ayudar a recuperar grandes transferencias bancarias internacionales robadas de los Estados Unidos. El FFKC está pensado para ser utilizado como otra vía potencial para que las instituciones financieras estadounidenses recuperen los fondos de las víctimas. 
  • Cualquier transferencia bancaria que se realice fuera de estos umbrales debe ser informada a las autoridades competentes (http://www.ic3.gov/) pero la FFKC no puede utilizarse para devolver los fondos fraudulentos.  
  • El plan también debe incluir involucrar rápidamente a su personal de TI y seguridad de la información para determinar si ha habido una vulneración en la red o el correo electrónico.
  • Preparar todos los informes y notificaciones requeridos por la reglamentación, ley o política y entregarlos según corresponda.
  • Prepare informes de lecciones aprendidas y socialícelos según corresponda de acuerdo con las políticas de respuesta a incidentes de su sitio.
  • Comparta los detalles del incidente y las lecciones aprendidas con los miembros correspondientes de la gerencia, la junta directiva o el comité.
  • Implementar controles adicionales para minimizar el riesgo de ataques futuros.

¿Cómo puedes defender tu empresa del BEC?

  • Se anima a las empresas a que mejoren la concienciación de los empleados sobre el fraude y a que eduquen a los empleados sobre cómo funcionan las estafas BEC y otros ataques similares. Si bien los empleados son el mayor activo de una empresa, también pueden ser su eslabón más débil en lo que respecta a la seguridad. Comprométase a capacitar a los empleados, revise las políticas de la empresa y desarrolle buenos hábitos de seguridad.
  • Examine cuidadosamente todos los correos electrónicos. Desconfíe de los correos electrónicos no solicitados o irregulares enviados por ejecutivos de alto nivel, ya que pueden usarse para engañar a los empleados y hacer que actúen con urgencia. Sea especialmente cauteloso con los correos electrónicos que solicitan fondos, para determinar si las solicitudes son fuera de lo común.
  • Verificar cualquier cambio en las instrucciones de pago a proveedores, mediante una aprobación secundaria del personal de la empresa.
  • Manténgase actualizado sobre los hábitos de los clientes, incluidos los detalles y los motivos detrás de los pagos.
  • Realizar devoluciones de llamadas (a los números registrados, no al correo electrónico) para todas las solicitudes de pago.
  • Prohibir el acceso a correos electrónicos personales desde computadoras de la empresa. Las cuentas de correo electrónico personales son conocidas por recibir correos electrónicos no deseados que contienen malware potencial.
  • Incentive a los empleados a utilizar las computadoras de la empresa únicamente para fines comerciales y a abstenerse de visitar sitios desconocidos.
  • Realice una verificación exhaustiva de los nuevos clientes comerciales. Tenga cuidado con los clientes que solo desean comunicarse por correo electrónico y la aplicación WhatsApp.
  • Segregar las funciones laborales de los empleados para evitar la colusión.
  • Proteja la seguridad de su red empresarial y sus cuentas de correo electrónico. La autenticación DUAL de Microsoft debe estar habilitada.
  • Si tiene motivos para creer que es víctima de un BEC, comuníquese con su banco lo antes posible e informe el incidente al FBI y/o al departamento de policía local.
  • Obtenga cobertura de seguro contra fraude cibernético.

Recomendaciones y mitigaciones

Mitigaciones no técnicas 

Seguridad de ingeniería social
  • Tenga cuidado con la información que comparte en línea o en las redes sociales. Si comparte abiertamente datos como nombres de mascotas, escuelas a las que asistió, enlaces a familiares y su fecha de nacimiento, puede darle a un estafador toda la información que necesita para adivinar su contraseña o responder a sus preguntas de seguridad.
  • Tenga cuidado con lo que publica en sitios de redes comerciales como LinkedIn y el sitio web de su empresa, especialmente información sobre quién tiene qué tareas laborales específicas. 
Formación y sensibilización.
  • Alertas para empleados y clientes sobre estafas de phishing dirigidas a organizaciones o grupos de interés específicos.
  • Recordatorios de políticas vigentes, como cambios de cuenta.
  • Información general sobre tácticas de phishing publicadas en el sitio web o correos electrónicos de una organización.
  • Establezca un programa de pruebas para empleados con intentos de phishing y BEC que parezcan provenir de sus líderes superiores y socios comerciales de confianza.
Establecer comunicación fuera de banda  
  • Utilice una forma de comunicación alternativa al correo electrónico, como una llamada telefónica, para verificar transacciones que superen un determinado monto en dólares. Y establezca este proceso de verificación al comienzo de la relación comercial. No utilice el correo electrónico para establecer el proceso de verificación.
Estandarizar la validación de pagos y cambios de cuenta
  • Establezca con sus clientes y socios comerciales cómo se comunicarán y validarán los cambios en la información de las cuentas. Además, confirme cómo espera que validen los cambios en su información bancaria.
Confirmar cambios significativos o fuera de patrón
  • Tenga cuidado con los cambios repentinos en las prácticas comerciales. Por ejemplo, si un proveedor de repente le pide que lo contacte a una dirección de correo electrónico personal cuando toda la correspondencia oficial anterior se ha realizado a través de un correo electrónico de la empresa, verifique a través de otros canales que todavía se está comunicando con su socio comercial legítimo.
  • Tenga especial cuidado si el solicitante le presiona para que actúe rápidamente.
  • Verifique las solicitudes de pago y compra en persona si es posible o llamando a la persona para asegurarse de que sean legítimas. Debe verificar cualquier cambio en un número de cuenta o en los procedimientos de pago con la persona que realiza la solicitud.
  • Esté atento a solicitudes sospechosas, como un cambio en la ubicación de pago de un proveedor.
  • Siga los controles para la validación de información de pago nueva o revisada.
  • Comunique cualquier inquietud si un pago parece sospechoso, incluso después de realizar una devolución de llamada.
  • Sospeche mucho si un proveedor ofrece razones vagas para los cambios en una cuenta nueva, como auditorías fiscales o eventos actuales, por ejemplo, "Debido al COVID-19, necesitamos actualizar nuestra información de pago..."
Crear una política de redes sociales
  • Construya, implemente y haga cumplir una política de redes sociales que prohíba compartir detalles sobre los roles y responsabilidades de la empresa, de modo que los delincuentes cibernéticos no puedan desarrollar una imagen de su estructura corporativa, incluidas las direcciones para atacar a sus empleados.
Correo electrónico
  • No haga clic en ningún elemento de un correo electrónico o mensaje de texto no solicitado que le solicite que actualice o verifique la información de su cuenta. Busque el número de teléfono de la empresa por su cuenta (no utilice el que le proporciona un posible estafador). Busque el número en una fuente externa cuando llame y llame a la empresa para preguntar si la solicitud es legítima.
  • Revise periódicamente la configuración de "reglas" de su cuenta para asegurarse de que nadie haya configurado el reenvío automático de sus correos electrónicos.
  • Reenvío de correo electrónico vs. respuesta de correo electrónico. En lugar de presionar "responder" en correos electrónicos importantes, use la opción de reenvío y escriba la dirección de correo electrónico correcta o selecciónela de su libreta de direcciones de correo electrónico para asegurarse de que está usando la dirección de correo electrónico real.
  • Tenga cuidado al utilizar respuestas de fuera de la oficina que brinden demasiados detalles sobre cuándo sus ejecutivos están fuera de la oficina.
  • Examine cuidadosamente la dirección de correo electrónico, la URL y la ortografía utilizada en cualquier correspondencia. Los estafadores utilizan ligeras diferencias para engañar a sus ojos y ganarse su confianza.
  • Tenga cuidado con lo que descarga. Nunca abra un archivo adjunto en un correo electrónico de alguien que no conoce y desconfíe de los archivos adjuntos que le reenvíen.
  • Evite hacer clic en enlaces o archivos adjuntos de remitentes desconocidos. Si lo hace, podría descargar malware en las computadoras de su empresa y exponerlo a ataques de hackers.
Estrategias antiphishing para correos electrónicos redactados por IA
  • Sandbox para documentos de Word y otros archivos adjuntos para mantenerlos alejados de las redes corporativas.
  • Inspección del tráfico web a través de una puerta de enlace web segura para proteger tanto a los usuarios locales como a los remotos.
  • Pasarelas de correo electrónico seguras.
  • Verifique las URL para detectar contenido malicioso o errores tipográficos.
  • Implemente protocolos de seguridad de correo electrónico como DMARC, DKIM y SPF, que ayudan a prevenir la suplantación de dominios y la manipulación de contenido.
  • Proporciona una forma sencilla de informar correos electrónicos sospechosos.

Qué buscar en un correo electrónico:

  • Dirección de correo electrónico sospechosa del remitente.  La dirección de correo electrónico del remitente puede imitar a una empresa legítima. Los actores de amenazas suelen utilizar direcciones de correo electrónico que se parecen a organizaciones de buena reputación, pero alteran u omiten algunas letras y números.
  • Saludos y firmas genéricas.  La falta de información de contacto en un bloque de firma de correo electrónico, o saludos genéricos como "Señor/Señora" o "Estimado cliente" son fuertes indicadores de un correo electrónico de phishing.
  • Errores ortográficos y de diseño.  Una estructura de oraciones extraña, errores ortográficos, mala gramática y un formato inconsistente son fuertes indicadores de un posible intento de phishing.
  • Sitios web y enlaces falsificados.  Al pasar el cursor sobre los enlaces en el cuerpo de un correo electrónico, si no coinciden, es posible que el enlace sea falso. Las variaciones maliciosas de dominios legítimos utilizan diferentes ortografías o dominios, como .net o .com. Otras tácticas incluyen el uso de servicios de acortamiento de URL para ocultar el verdadero destino de los enlaces.
  • Archivos adjuntos sospechosos.  Los correos electrónicos no solicitados que solicitan a los usuarios abrir o descargar archivos adjuntos son mecanismos de entrega comunes de malware.

Indicadores comunes (banderas rojas):

  • Las instrucciones de transacción enviadas por correo electrónico dirigen el pago a un beneficiario conocido; sin embargo, la información de la cuenta del beneficiario es diferente de la que se utilizó anteriormente.
  • Las instrucciones de transacción enviadas por correo electrónico dirigen transferencias bancarias a una cuenta bancaria extranjera que ha sido documentada en quejas de clientes como destino de transacciones fraudulentas.
  • Las instrucciones de transacción enviadas por correo electrónico dirigen el pago a un beneficiario con el que el cliente no tiene historial de pagos ni relación comercial documentada, y el pago es por un monto similar o superior a los pagos enviados a los beneficiarios a quienes el cliente ha pagado históricamente.
  • Las instrucciones de transacción enviadas por correo electrónico incluyen marcas, afirmaciones o lenguaje que designan la solicitud de transacción como "Urgente", "Secreta" o "Confidencial".
  • Las instrucciones de transacción enviadas por correo electrónico se entregan de una manera que le da a la institución financiera un tiempo o una oportunidad limitados para confirmar la autenticidad de la transacción solicitada.
  • Las instrucciones de transacción enviadas por correo electrónico provienen de un empleado del cliente que es una persona recientemente autorizada en la cuenta o es una persona autorizada que no ha enviado previamente instrucciones de transferencia bancaria.
  • Un empleado o representante del cliente envía por correo electrónico instrucciones de transacciones de una institución financiera en nombre del cliente que se basan exclusivamente en comunicaciones por correo electrónico que se originan de ejecutivos, abogados o sus designados. Sin embargo, el empleado o representante del cliente indica que no ha podido verificar las transacciones con dichos ejecutivos, abogados o sus designados.
  • Un cliente envía por correo electrónico solicitudes de transacciones de pagos adicionales inmediatamente después de un pago exitoso a una cuenta que el cliente no había utilizado anteriormente para pagar a sus proveedores. Este comportamiento puede ser coherente con el intento de un delincuente de emitir pagos adicionales no autorizados tras enterarse de que se realizó un pago fraudulento.
  • Se recibe una transferencia bancaria para acreditarla en una cuenta; sin embargo, la transferencia bancaria nombra a un beneficiario que no es el titular de la cuenta registrado. Esto puede reflejar casos en los que una víctima envía, sin saberlo, transferencias bancarias a un nuevo número de cuenta, proporcionado por un delincuente que se hace pasar por un proveedor/vendedor conocido mientras piensa que la nueva cuenta pertenece al proveedor/vendedor conocido, como se describe en el Escenario BEC 3 anterior. Esta señal de alerta puede ser vista por instituciones financieras que reciben transferencias bancarias enviadas por otra institución financiera como resultado de un fraude de correo electrónico comprometido.

Mitigaciones técnicas

  • Configure la autenticación de dos factores (o multifactor) en cualquier cuenta que lo permita y nunca la deshabilite. La autenticación de dos factores (TFA) y la autenticación multifactor (MFA) tienen como objetivo proteger a los usuarios si se han capturado las credenciales de autenticación. La naturaleza de los tokens cambiantes limita la capacidad del atacante de aprovechar las credenciales capturadas.  
  • Evite las cuentas de correo electrónico gratuitas basadas en la web. Cree un nombre de dominio de la empresa y utilícelo para crear direcciones de correo electrónico formales para sus empleados.
  • Etiquete los correos electrónicos externos para ayudar a prevenir la suplantación de identidad de empleados.  
  • Asegúrese de que los correos electrónicos que se originan fuera de la organización se marquen automáticamente antes de recibirse. 
  • Prohibir el reenvío automático de correos electrónicos a direcciones externas. Detectar reglas de reenvío de correo electrónico que envían todos los correos electrónicos o algunos seleccionados a una dirección de correo electrónico externa.
  • Agregue un banner de correo electrónico a los mensajes que provienen de fuera de su organización. Esta es una manera sencilla de destacar que se necesita un escrutinio adicional para los correos electrónicos externos. También puede identificar cuándo un adversario crea un dominio fraudulento que se parece a un dominio legítimo del sector de atención médica y salud pública (HPH).
  • Prohibir los protocolos de correo electrónico heredados, como POP, IMAP y SMTP1, que pueden usarse para eludir la autenticación multifactor.
  • Asegúrese de que los cambios en el inicio de sesión y la configuración del buzón se registren y conserven durante al menos 90 días.
  • Habilite alertas para actividades sospechosas, como inicios de sesión extranjeros.
  • Habilite funciones de seguridad que bloqueen correos electrónicos maliciosos, como políticas antiphishing y anti-spoofing.
  • Configure el marco de políticas de remitente, el correo identificado con DomainKeys y los informes y conformidad de autenticación de mensajes basados ​​en dominios para evitar la suplantación de identidad y validar el correo electrónico.
  • Deshabilitar la autenticación de cuenta heredada.
  • Desarrollar y mantener una política sobre correos electrónicos sospechosos para los usuarios finales; garantizar que se informen los correos electrónicos sospechosos. 
  • Aplicar parches/actualizaciones inmediatamente después del lanzamiento/prueba; desarrollar/mantener un programa de parches si es necesario. 
  • Implementar un sistema de detección de intrusiones (IDS); mantener firmas y reglas actualizadas. 
  • Implementar filtros de spam en las pasarelas de correo electrónico; mantener las firmas y reglas actualizadas. 
  • Bloquear direcciones IP sospechosas en el firewall; mantener las reglas del firewall actualizadas. 
  • Implementar tecnología de lista blanca para garantizar que solo se permita la ejecución del software autorizado. 
  • Implementar el control de acceso basado en el principio del mínimo privilegio. 
  • Implementar y mantener soluciones anti-malware. 
  • Realizar el fortalecimiento del sistema para garantizar configuraciones adecuadas. 
  • Deshabilite el uso de SMBv1 (y todos los demás servicios y protocolos vulnerables) y requiera al menos SMBv2.
  • Informes y conformidad de autenticación de mensajes basados ​​en dominios (DMARC). El protocolo DMARC permite a los propietarios de dominios especificar qué método de autenticación se utiliza al enviar correos electrónicos. DMARC ayuda a los receptores de correo electrónico a determinar si el supuesto mensaje "coincide" con lo que el receptor sabe sobre el remitente. En caso contrario, se proporciona orientación sobre cómo manejar el mensaje. 
  • Proteja su dominio web. Considere contratar una empresa que le notifique sobre los dominios web que se han registrado para que parezcan suyos de manera engañosa; los cibercriminales pueden usar dominios similares en ataques BEC para engañar a sus empleados o socios comerciales y lograr que desvíen fondos.
  • Minería de datos. Denuncia de abusos y phishing mediante minería de datos y uso de la información obtenida para prevenir futuros ataques.
  • Contraseñas.  
    - Revise las políticas de contraseñas para asegurarse de que se alineen con las últimas pautas del NIST y eviten el uso de contraseñas fáciles de adivinar.
    - Revisar la gestión de contraseñas del servicio de asistencia de TI relacionada con contraseñas iniciales, restablecimientos de contraseñas para bloqueos de usuarios y cuentas compartidas.
    - Auditar periódicamente las contraseñas de los usuarios comparándolas con listas de contraseñas comunes, utilizando herramientas gratuitas o comerciales.
    - Proporcionar asesoramiento pragmático a los usuarios sobre cómo elegir buenas contraseñas.

Procedimientos adecuados de devolución de llamada

Un proceso adecuado requiere que un empleado, generalmente un miembro del personal de pagos, levante el teléfono y valide nuevas solicitudes de pago, solicitudes para establecer una nueva cuenta bancaria, cambios en las instrucciones de pago y cambios en la información de contacto.
  • Las llamadas deben realizarse a la persona que realiza la solicitud utilizando un número de teléfono obtenido de un sistema de registro al crear una nueva cuenta, procesar una solicitud de pago, cambiar las instrucciones de pago o cambiar la información de contacto. Desconfíe de los proveedores que cambian las instrucciones de pago con frecuencia. Los estafadores a veces proporcionan varias cuentas diferentes a las víctimas durante un intento de fraude BEC. Confirme todos los detalles de la cuenta, incluido el nuevo número de cuenta.
  • No confirme las instrucciones de pago únicamente por correo electrónico. Siempre devuelva la llamada utilizando un número de teléfono que figure en un sistema de registro a la persona que realiza la solicitud.
  • Si una devolución de llamada no es actualmente parte del proceso de control de pagos de su empresa, intente implementar una o escalar el problema a alguien que pueda hacerlo.
  • Si recibe una llamada de su institución financiera para solicitarle que valide un pago inusual, tómeselo en serio. Podría ser su última oportunidad de detener un pago fraudulento antes de que sea demasiado tarde. Verifique nuevamente que sus controles se hayan ejecutado correctamente. No suponga que se realizó una devolución de llamada. Preste mucha atención a la información proporcionada y vuelva a confirmar que su organización realizó todos los controles correspondientes, incluida la devolución de llamada. Es común confirmar pagos como válidos solo para luego informarlos como fraudulentos.
  • Comprenda que una vez que se haya liberado un pago, no hay garantías de que se recuperen los fondos.
  • Mantenga su información de contacto actualizada si su institución financiera necesita comunicarse con usted.
  • No confíe en las instrucciones de pago proporcionadas por un socio comercial. Siempre verifique que quien proporciona las instrucciones haya realizado una devolución de llamada de validación independiente al solicitante real.

Métodos BEC

  • Falsificar una cuenta de correo electrónico o un sitio web. Las pequeñas variaciones de las direcciones legítimas (john.kelly@examplecompany.com vs. john.kelley@examplecompany.com) engañan a las víctimas para que piensen que las cuentas falsas son auténticas. Los correos electrónicos falsificados pueden hacerse pasar por cualquier persona. Los estafadores se dirigen a empleados con autoridad transaccional (cuentas por pagar, firmantes de cheques, personas autorizadas) o acceso a sistemas que gestionan datos de PII/W-2. Los correos electrónicos suelen mostrar una sensación de urgencia que culmina en una solicitud de transferencias de dinero, datos o tarjetas de regalo.
  • Correos electrónicos de phishing. Estos mensajes parecen provenir de un remitente de confianza para engañar a las víctimas y conseguir que revelen información confidencial. Esa información permite a los delincuentes acceder a las cuentas, calendarios y datos de la empresa que les proporcionan los detalles que necesitan para llevar a cabo los esquemas BEC. Los correos electrónicos intentan incitar a los usuarios a hacer clic en un enlace que los llevará a un sitio web fraudulento que parece legítimo o a hacer clic en archivos adjuntos maliciosos. Se trata de un intento de los atacantes de solicitar información personal, como nombres de usuario y contraseñas de cuentas; estos sitios web fraudulentos también pueden contener código malicioso.
  • Servicios de correo electrónico basados ​​en la nube.  Los cibercriminales están apuntando a organizaciones que utilizan servicios de correo electrónico populares basados ​​en la nube para llevar a cabo estafas de vulneración de correo electrónico empresarial (BEC). Las estafas se inician a través de kits de phishing desarrollados específicamente para imitar los servicios de correo electrónico basados ​​en la nube con el fin de comprometer las cuentas de correo electrónico empresariales y solicitar o desviar transferencias de fondos. Muchos kits de phishing identifican el servicio de correo electrónico asociado con cada conjunto de credenciales comprometidas, lo que permite al cibercriminal dirigirse a las víctimas mediante servicios basados ​​en la nube. Tras comprometer las cuentas de correo electrónico de las víctimas, los cibercriminales analizan el contenido de las cuentas de correo electrónico comprometidas en busca de pruebas de transacciones financieras. A menudo, los actores configuran las reglas del buzón de una cuenta comprometida para eliminar mensajes clave. También pueden habilitar el reenvío automático a una cuenta de correo electrónico externa. Utilizando la información recopilada de las cuentas comprometidas, los cibercriminales se hacen pasar por comunicaciones de correo electrónico entre empresas comprometidas y terceros, como proveedores o clientes, para solicitar que los pagos pendientes o futuros se redirijan a cuentas bancarias fraudulentas. Los cibercriminales acceden con frecuencia a las libretas de direcciones de las cuentas comprometidas como un medio para identificar nuevos objetivos a los que enviar correos electrónicos de phishing. Como resultado, un ataque exitoso a una cuenta de correo electrónico de una empresa puede derivar en múltiples víctimas dentro de una industria.

    Si bien la mayoría de los servicios de correo electrónico basados ​​en la nube tienen funciones de seguridad que pueden ayudar a prevenir el BEC, muchas de estas funciones deben configurarse y habilitarse manualmente. Protéjase mejor del BEC aprovechando el espectro completo de protecciones disponibles. Según el proveedor, los servicios de correo electrónico basados ​​en la nube pueden proporcionar funciones de seguridad como protección avanzada contra phishing y autenticación multifactor que no están habilitadas de manera predeterminada o solo están disponibles por un costo adicional.
  • Malware El software malicioso puede infiltrarse en las redes de las empresas y obtener acceso a hilos de correo electrónico legítimos sobre facturación y facturas. Esa información se utiliza para programar solicitudes o enviar mensajes para que los contables o los funcionarios financieros no cuestionen las solicitudes de pago. El malware también permite a los delincuentes obtener acceso sin ser detectados a los datos de una víctima, incluidas las contraseñas y la información de la cuenta financiera. Estos datos se utilizan luego para evitar levantar sospechas cuando se envía una transferencia bancaria falsificada.
  • El esquema de facturas falsas.  A una empresa que mantiene una relación duradera con un proveedor se le solicita que transfiera fondos para liquidar los pagos de facturas a una cuenta fraudulenta. Correos electrónicos enviados a empleados con autoridad transaccional (cuentas por pagar, firmantes de cheques, personas autorizadas). Los actores de amenazas también pueden enviar un enlace a lo que parece ser una factura. El enlace puede transmitir información confidencial a los atacantes o descargar malware. Los actores de amenazas se dirigen a empresas que tienen relaciones establecidas con un proveedor o vendedor. Aprovechando las facturas falsas, los actores de amenazas solicitan el pago a través de ingeniería social a una cuenta financiera bajo su control.
  • Fraude del CEO.  La cuenta de correo electrónico del director ejecutivo es suplantada o pirateada y se envía una solicitud de transferencia urgente de fondos al empleado encargado de procesar estas solicitudes o, en ocasiones, directamente al banco. Se basa en que los empleados ejecuten las órdenes de la alta dirección sin cuestionarlas. Por lo general, esto se lleva a cabo en circunstancias específicas, como cuando el director ejecutivo está fuera de la oficina.
  • Cuenta de correo electrónico de empleado comprometida.  La cuenta personal de un empleado (que se utiliza tanto para comunicaciones personales como comerciales) es hackeada y utilizada para enviar solicitudes a una lista de proveedores identificados a partir de su lista de contactos comerciales, solicitando pagos de facturas a una cuenta bancaria fraudulenta. Esta estafa es difícil de identificar, a menos que un proveedor se comunique directamente con la empresa para solicitar el pago.
  • Suplantación de identidad de abogado.  Los estafadores se hacen pasar por abogados o representantes de un bufete de abogados. Se ponen en contacto con un empleado o el director ejecutivo de la empresa por teléfono o correo electrónico y afirman poseer información confidencial. Luego presionan a la víctima para que actúe rápidamente o en secreto para transferir fondos. La estafa suele tener lugar al final de los días o semanas hábiles, cuando las personas son más vulnerables y están listas para actuar rápidamente.
  • Robo de datos.  La cuenta de correo electrónico de un empleado es hackeada y utilizada para enviar una solicitud a otro empleado de recursos humanos, no pidiendo dinero sino información de identificación personal (PII) o declaraciones de impuestos.
  • Tarjeta de regalo.  En un ejemplo típico, una víctima recibe una solicitud de su dirección para comprar tarjetas de regalo para una función relacionada con el trabajo o como regalo para una ocasión personal especial. Las tarjetas de regalo se utilizan luego para facilitar la compra de bienes y servicios que pueden ser legítimos o no. Algunos de estos incidentes se combinan con solicitudes adicionales de pagos mediante transferencia bancaria. Esta estafa se ha dirigido a sectores como la tecnología, el sector inmobiliario, el derecho, la medicina, la distribución y el suministro y las organizaciones religiosas.
  • Depósito directo: En esta variante, los estafadores se hacen pasar por la víctima y envían por correo electrónico una solicitud de cambio de depósito directo al departamento de finanzas o recursos humanos. Esto hace que el cheque de pago del empleado se redirija a una cuenta controlada por el estafador.
  • Solicitud de cambio de cuenta de proveedor: Esta variante es similar a la variante de depósito directo, aunque la solicitud se hace pasar por un vendedor y solicita al gobierno estatal, local, tribal y territorial (SLTT) que modifique la cuenta de pago del vendedor. El siguiente pago al vendedor se envía entonces al número de cuenta actualizado, que pertenece al estafador.
  • Orden de compra del proveedor: En este esquema, los estafadores obtienen formularios de órdenes de compra disponibles públicamente y modifican los datos de contacto en los formularios para incluir números de teléfono y direcciones de correo electrónico diferentes. En ocasiones, los estafadores crean sitios web que imitan la información de contacto incluida en las órdenes de compra fraudulentas. Los estafadores envían la orden de compra a un proveedor, hacen que se envíen los productos y los venden para obtener ganancias mientras que la factura va a parar a la entidad afectada.
  • Robo financiero: En esta variante, los estafadores se hacen pasar por un empleado o funcionario de alto rango y solicitan al departamento que envíe dinero de inmediato para un fin especial. En ocasiones, el correo electrónico falsificado no hace referencia directa a una transferencia bancaria, sino que especifica que las "transacciones" deben "configurarse y procesarse".

Esquemas de compromiso de cuentas de correo electrónico (EAC)

A diferencia de los esquemas de BEC, los esquemas de EAC se dirigen a individuos en lugar de a empresas. Los individuos que realizan grandes transacciones a través de instituciones financieras, entidades crediticias, empresas inmobiliarias y bufetes de abogados son los objetivos más probables de este tipo de esquema. Los esquemas de EAC suelen adoptar las siguientes formas:
  • Servicios de préstamo y corretaje: Un delincuente piratea y utiliza la cuenta de correo electrónico de un profesional de servicios financieros (como un corredor de bolsa o un contador) para enviar instrucciones fraudulentas por correo electrónico, supuestamente en nombre de un cliente, al banco o a la casa de bolsa del cliente, para transferir fondos del cliente a una cuenta controlada por el delincuente.
  • Servicios Inmobiliarios: Un delincuente vulnera la cuenta de correo electrónico de un agente inmobiliario o de una persona que compra o vende bienes raíces, con el fin de alterar las instrucciones de pago y desviar fondos de una transacción inmobiliaria (como ganancias de la venta, desembolsos de préstamos u honorarios). Alternativamente, los delincuentes piratean y utilizan la dirección de correo electrónico de un agente inmobiliario para comunicarse con una empresa de depósito de garantía y ordenarle que redirija las ganancias de la comisión a una cuenta controlada por el delincuente.
  • Servicios jurídicos: Un delincuente vulnera la cuenta de correo electrónico de un abogado para acceder a la información del cliente y a las transacciones relacionadas. Luego, el delincuente envía por correo electrónico instrucciones de pago de transacciones fraudulentas a la institución financiera del abogado. Alternativamente, el delincuente puede vulnerar la cuenta de correo electrónico de un cliente para solicitar transferencias bancarias desde cuentas de fideicomiso y de depósito en garantía que administra el abogado del cliente.

BEC y criptomonedas

Una criptomoneda es una forma de activo virtual que utiliza criptografía (el uso de mensajes codificados para proteger las comunicaciones) para asegurar las transacciones financieras y es popular entre los actores ilícitos debido al alto grado de anonimato asociado a ella y la velocidad a la que ocurren las transacciones.

Actualmente, existen dos versiones conocidas de la estafa BEC en las que los delincuentes utilizaron criptomonedas. En ambas situaciones, la víctima no sabe que los fondos se están enviando para convertirlos en criptomonedas.
  • Una transferencia directa a un intercambio de criptomonedas (CE) - Este escenario es donde el estafador altera la información de la transferencia bancaria y redirige el pago a un intercambio de criptomonedas (CE).
  • Transferencia de "segundo salto" a un intercambio de criptomonedas (CE) - Utiliza a víctimas de otras estafas cibernéticas, como extorsión, soporte técnico y estafas románticas. A menudo, estas personas proporcionaron copias de documentos de identificación, como licencias de conducir, pasaportes, etc., que se utilizan para abrir billeteras de criptomonedas a su nombre. Este escenario es cuando el estafador abre una billetera de criptomonedas a nombre de otra víctima de fraude. Luego, el estafador altera una transferencia bancaria en una estafa BEC y envía los fondos a la cuenta de criptomonedas falsificada de la otra víctima y los retira, lo que dificulta el seguimiento del movimiento de fondos.

Esquemas de compromiso de cuentas de correo electrónico (EAC)

Los esquemas BEC y EAC son similares y, por lo tanto, pueden exhibir un comportamiento sospechoso similar, que puede identificarse por una o más de las siguientes señales de alerta:
  • Las instrucciones de transacción aparentemente legítimas enviadas por correo electrónico de un cliente contienen un lenguaje, tiempos y montos diferentes a los de las instrucciones de transacción previamente verificadas y auténticas.
  • Las instrucciones de transacción se originan desde una cuenta de correo electrónico muy similar a la cuenta de correo electrónico de un cliente conocido; sin embargo, la dirección de correo electrónico ha sido ligeramente alterada agregando, cambiando o eliminando uno o más caracteres. 
  • Se proporcionan varios conjuntos de instrucciones de cableado o modificaciones de las instrucciones de cableado. ¡LAS INSTRUCCIONES DE CABLEADO NUNCA DEBEN CAMBIAR!
  • Mala gramática o uso extraño de términos/frases utilizados en el cuerpo del correo electrónico.
  • Sentido de urgencia: los fondos deben transferirse inmediatamente.
  • El vendedor se comunica con la compañía de títulos por correo electrónico y cambia las instrucciones de pago en lugar del prestamista.
  • La cuenta bancaria del destinatario no tiene sentido.
    • El beneficiario no es parte de la transacción
    • El beneficiario es un bufete de abogados que no participa en la transacción.
    • Beneficiario en una ubicación no relacionada (otro estado)
    • El banco beneficiario no es un banco local
  • Correo electrónico enviado fuera del horario comercial normal o utilizando el reloj de 24 horas (22:00 hrs. en lugar de 10:00 pm).
  • Correo electrónico inesperado con un enlace a un documento, probablemente un enlace con malware.
  • La dirección de correo electrónico del remitente es similar a la dirección de correo electrónico legítima. El cambio de dirección de correo electrónico puede ser sutil (pasa el cursor sobre la dirección de correo electrónico).
Por ejemplo:  
  • Dirección de correo electrónico legítima: john-doe@abc.com
  • Direcciones de correo electrónico fraudulentas: john_doe@abc.com, john-doe@bcd.com

Ejemplo de un caso típico de vulneración de correo electrónico empresarial:

El cliente inicia una transferencia de $250,000 al banco beneficiario y a un prestamista. Los fondos se destinan a la cancelación de una hipoteca y deben ser recibidos por el prestamista hipotecario. Después de un período de tiempo, el prestamista se comunica con el cliente para informarle que no ha recibido la cancelación del préstamo. El cliente se comunica con el banco 30 días después, indicando que cree que ha sido víctima de un fraude y solicita la anulación de la transferencia. El banco beneficiario no pudo cumplir con la anulación de la transferencia porque ya no había fondos en la cuenta bancaria del beneficiario. El cliente incurre en una pérdida de $250,000.

Cómo se ejecutó la estafa: Antes del cierre, el Cliente recibe un Documento de Cierre Modificado (CD) por correo electrónico de quien cree que es el Comprador/Prestatario. La(s) persona(s) que se hace(n) pasar por el Prestatario indica(n) que el Prestamista iba a enviar por FAX un CD modificado “como resultado de un error de pago” (Bandera Roja). El Defraudador también afirma que el monto del pago seguirá siendo el mismo. El impostor envía por correo electrónico el CD modificado al Cliente. La transferencia se procesa con las nuevas instrucciones y se envía a una cuenta bancaria controlada por el(los) Defraudador(es), según las instrucciones de la transferencia fraudulenta. Como se mencionó, después de 30 días, el Prestamista se comunica con el Cliente para verificar el estado del pago. En este punto, se determina que las instrucciones actualizadas no se enviaron desde el correo electrónico legítimo del Prestatario, ya que fue falsificado por el Defraudador.

La apropiación de cuentas puede ser resultado de la vulneración de credenciales de cuentas y cuentas de correo electrónico.

De los casos: El estafador ha obtenido el número de cuenta y las credenciales de inicio de sesión de la banca en línea. También ha comprometido la cuenta de correo electrónico del cliente. Cambia la contraseña de la cuenta y envía el código de verificación a la dirección de correo electrónico registrada. El estafador se ha apoderado de la cuenta de correo electrónico y puede interceptar los códigos de autorización bancaria. Una vez que el estafador tiene acceso a la cuenta, puede iniciar un pago (es decir, transferencia bancaria, ACH) y hacer que se envíe la contraseña a la dirección de correo electrónico registrada. En algunos casos en los que existe un doble control de las transferencias bancarias, el estafador puede robar las credenciales de ambos empleados.

¿Cómo pudo pasar esto?
  • Credenciales compartidas
  • La autenticación dual de Microsoft Outlook está deshabilitada
  • Malware
  • Phishing
  • El control dual no es realmente un control dual (una persona)
  • Seguridad laxa
Recientemente se ha adoptado la tendencia de volver a utilizar el FAX como método para compartir y obtener información bancaria y de transferencias entre agentes de liquidación y compradores/vendedores. Si bien el uso de la tecnología del FAX puede impedir la piratería informática sistémica, recuerde que si se utilizó el intercambio de correo electrónico en cualquier parte de la cadena de comunicación, el uso del fax para compartir información bancaria está expuesto al fraude cibernético.

Casos de éxito

  • Antes del cierre, el vendedor de la propiedad se comunicó por correo electrónico con la compañía de título/liquidación para obtener su número de FAX para proporcionar información de pago del préstamo.
  • Dos semanas antes del cierre, el vendedor envió por fax la información de pago que recibió de su prestamista directamente a la empresa de liquidación. La información bancaria incluía el título de la cuenta: Cuenta de compensación de pago
  • 2 días antes del cierre, la empresa de liquidación recibió un FAX actualizado "del vendedor" que tenía un cambio en el número de cuenta de pago y la información en el mismo banco prestamista: Payoff Toneberg Enterprise
  • La compañía de liquidación utilizó la información bancaria del segundo FAX y transfirió $390,000.00 al banco prestamista para “liquidar” la hipoteca del vendedor.
  • Los estafadores cibernéticos vulneraron la cuenta de correo electrónico del vendedor y siguieron la comunicación entre la empresa de liquidación y el vendedor. Obtuvieron acceso a la carta de pago original que el vendedor recibió del prestamista y crearon un duplicado exacto del fax original. El segundo fax no hacía ninguna referencia a ser una actualización.



El pie de página no tiene contenido