Business Email Compromise (BEC)

Business Email Compromise (BEC) alude a una vulnerabilidad en la que un atacante obtiene acceso a una cuenta de correo electrónico empresarial e imita la identidad del propietario para defraudar a la empresa y a sus empleados, clientes o socios. A menudo, un atacante creará una cuenta con una dirección de correo electrónico casi idéntica a una en la red corporativa, recayendo en la confianza asumida entre la víctima y su cuenta de correo electrónico. BEC a veces se describe como un «ataque de hombre en el correo electrónico».

Llevado a cabo por organizaciones criminales transnacionales que emplean a abogados, lingüistas, hackers e ingenieros sociales, Business Email Compromise puede adoptar diversas formas. En la mayoría de los casos, los estafadores centran sus esfuerzos en los empleados con acceso a las finanzas de la empresa e intentan engañarles para que realicen transferencias bancarias a cuentas que se consideran de confianza, cuando en realidad el dinero termina en cuentas controladas por los criminales.

En un ataque BEC, el atacante suele hacerse pasar por alguien de la red corporativa para engañar al objetivo o a los objetivos y hacer que envíen dinero a la cuenta del atacante. Las víctimas más comunes de BEC suelen ser empresas que utilizan transferencias electrónicas para pagar a clientes internacionales.

Aunque los perpetradores de BEC emplean una combinación de tácticas para engañar a sus víctimas, un plan común implica que el atacante acceda a una red empresarial mediante un ataque de spear-phishing junto con algún tipo de malware. Si el atacante permanece sin ser detectado, puede dedicar tiempo a estudiar todos los aspectos de la organización, desde los proveedores, hasta los sistemas de facturación, pasando por los hábitos de correspondencia de los ejecutivos y otros empleados.

En el momento adecuado, normalmente cuando el empleado suplantado está fuera de la oficina, el atacante enviará un correo electrónico falso a un empleado del departamento de finanzas. Se solicita una transferencia bancaria inmediata, generalmente a un proveedor de confianza. El empleado objetivo piensa que el dinero se está enviando a la cuenta esperada, pero los números de cuenta han sido alterados ligeramente y la transferencia se deposita en la cuenta controlada por el grupo criminal.

Si el fraud financiero no se detecta a tiempo, los fondos pueden ser casi imposibles de recuperar debido a diversas técnicas de lavado que transfieren los fondos a otras cuentas.

• Spoofing de cuentas de correo electrónico y sitios web: ligeras variaciones en las direcciones legítimas (john.kelly@abccompany.com frente a john.kelley@abccompany.com) engañan a las víctimas para que crean que las cuentas falsas son auténticas.
• Spear Phishing: Correos electrónicos falsos que parecen proceder de un remitente de confianza incitan a las víctimas a revelar información confidencial a los perpretadores de BEC.
• Malware: se utiliza para infiltrarse en redes con el objetivo de acceder a datos y sistemas internos, especialmente para revisar correos electrónicos legítimos relacionados con las finanzas de la empresa. Esa información se utiliza entonces para evitar levantar las sospechas de cualquier responsable financiero cuando se presenta una transferencia bancaria falsificada. El malware también permite a los criminales acceder a los datos confidenciales de sus víctimas.

A menudo, los mensajes enviados por los perpetradores seguirán varios arquetipos. Según la definición del FBI, existen cinco tipos principales de estafas BEC:

• Esquema de facturas falsas: las empresas con proveedores extranjeros a menudo son blanco de esta táctica en la que los atacantes se hacen pasar por los proveedores solicitando transferencias de fondos para pagos a una cuenta de los estafadores.
• Fraud del director ejecutivo: los atacantes se hacen pasar por el director ejecutivo de la empresa o cualquier otro alto cargo y envían un correo electrónico a los empleados de finanzas, solicitándoles que transfieran dinero a la cuenta que controlan.
• Compromiso de cuenta: la cuenta de correo electrónico de un ejecutivo o empleado es hackeada y utilizada para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. A continuación, los pagos se envían a cuentas bancarias fraudulentas.
• Suplantación de identidad de abogado: un atacante se hará pasar por un abogado u otro representante del bufete responsable de asuntos confidenciales. Estos tipos de ataques suelen ocurrir por correo electrónico o teléfono, al final de la jornada laboral, cuando las víctimas son empleados de bajo nivel sin el conocimiento o la autoridad para cuestionar la validez de la comunicación.
• Robo de datos: los empleados de RR. HH. y de contabilidad serán el objetivo para obtener información personal o confidencial sobre los empleados o ejecutivos. Estos datos pueden ser de gran ayuda para futuros ataques.

Hay muchas formas de defenderse contra el compromiso del correo electrónico empresarial. Las técnicas comunes que se emplean incluyen:

• Reglas del sistema de detección de intrusiones: estas señalan los correos electrónicos con extensiones que son similares al correo electrónico de la empresa. Por ejemplo, el correo electrónico legítimo de xyx_business.com detectaría el correo electrónico fraudulento de xyz-business.com.
• Reglas de correo electrónico: estas identifican las comunicaciones por correo electrónico donde la dirección de correo electrónico de «respuesta» es diferente de la dirección de correo electrónico «de» que se muestra.
• Codificación de colores: correspondencia virtual para que los correos electrónicos de cuentas de empleados/internas sean de un color y los correos de cuentas de no empleados/externas sean de otro color.
• Verificación de pago: garantiza la seguridad al requerir una autenticación de dos factores adicional.
• Solicitudes de confirmación: para transferencias de fondos con algo similar a la verificación telefónica como parte de un esquema de autenticación de dos factores. Además, las confirmaciones pueden requerir que se usen los números del directorio de la empresa, en lugar de los números proporcionados en un correo electrónico.
• Escrutinio cuidadoso: de todas las solicitudes de transferencia de fondos por correo electrónico para determinar si las solicitudes son inusuales.