Cómo proteger a su organización del compromiso del correo electrónico comercial

Según Check Point Research, las estafas BEC representaron la mitad de todas las pérdidas por delitos cibernéticos en los Estados Unidos en 2023.

Business Email Compromise (BEC) es un tipo de ataque popular entre los ciberdelincuentes porque se dirige a empresas e individuos en un intento de recibir fondos transferidos a cuentas fraudulentas. A menudo, los ataques BEC se hacen pasar por personas de confianza o familiares, como empleados de alto nivel, contratistas o socios, para engañar a las víctimas para que compren tarjetas de regalo, desvíen las declaraciones de impuestos o incluso transfieran artículos costosos a los delincuentes detrás del ataque.Una publicación de blog el martes El proveedor de inteligencia de amenazas cibernéticas Check Point Research descubre las últimas tendencias en ataques BEC y ofrece consejos sobre cómo las organizaciones pueden responder a ellos.

Las pérdidas anuales de las actividades de BEC alcanzaron los $ 1.7 mil millones en 2023, según el FBI Informe de delitos en Internet de 2023Estos tipos de ataques representaron la mitad de todas las pérdidas por delitos cibernéticos en los EE. UU. el año pasado, lo que convirtió a los BEC en la amenaza cibernética más grande que causa daños económicos. BEC es también Razones principales por las que las empresas presentan reclamaciones de seguros por delitos cibernéticos Según aseguradora AIG, 2023.

En el pasado, las campañas de BEC han falsificado rutinariamente las cuentas de correo electrónico de los directores ejecutivos y otros altos ejecutivos, pidiendo a los empleados que transfieran fondos a cuentas de delincuentes. Con el tiempo, estos ataques se expandieron para dirigirse a clientes, departamentos de recursos humanos, proveedores, contadores, bufetes de abogados e incluso autoridades fiscales. El objetivo es el mismo, pero ahora los atacantes intentan engañar a los destinatarios para que compren tarjetas de regalo, desvíen las declaraciones de impuestos e incluso transfieran millones de dólares en hardware y otros equipos a sus manos.

Mirar: Ciberseguridad: pongámonos tácticos (PDF gratuito)

Al igual que las campañas de phishing tradicionales, los ataques BEC a menudo explotan temas de noticias o de interés para las personas. Uno de los temas principales en estos días es, naturalmente, el coronavirus. En las dos primeras semanas de mayo, hubo un aumento del 30 % en los ataques cibernéticos relacionados con el COVID-19, muchos de los cuales involucraron estafas por correo electrónico.En varios de estos incidentes, agencias gubernamentales e instituciones médicas, sin saberlo, intentaron comprar equipos transferir dinero a los ciberdelincuentesy finalmente descubrió que el dispositivo no existía y que su dinero se había ido.

Las tarjetas de regalo se han convertido en una forma común para que los ciberdelincuentes obtengan dinero porque no requieren una cuenta bancaria ni una transferencia directa de fondos. Estas tarjetas se pueden vender fácilmente en línea por alrededor del 70% del valor inicial. Las estafas de tarjetas de regalo son especialmente populares durante la temporada navideña, con delincuentes que usan tarjetas en tiendas minoristas como Google Play, eBay, Target y Walmart.

Según Check Point, las campañas de BEC suelen utilizar tres métodos diferentes para hacerse pasar por cuentas legítimas.

1. En un enfoque, el atacante falsifica la dirección de correo electrónico de la fuente, lo cual es fácil de hacer porque el protocolo SMTP no proporciona una forma eficiente de autenticar al remitente. Los delincuentes utilizan servidores SMTP privados o públicos para distribuir correos electrónicos con direcciones falsificadas.
2. En otro enfoque, los atacantes usan phishing, robo de credenciales u otros medios para obtener control sobre las cuentas de correo electrónico de las personas que quieren suplantar. Luego pueden enviar un correo electrónico desde la cuenta real dando legitimidad a la solicitud de fondos.
3. En el tercer método, los atacantes se registran y envían correos electrónicos desde un dominio similar al dominio real que pretenden falsificar. Por ejemplo, el dominio registrado podría ser xyz.co, en contraste con el nombre legal de xyz.com.

En un ejemplo de 2023, un contratista de defensa de EE. UU. fue engañado para que enviara un pedido falso por valor de más de $10 millones, incluidos $3,2 millones en equipos de interceptación de comunicaciones confidenciales. Los atacantes utilizaron órdenes de compra falsas con direcciones de correo electrónico de Yahoo falsas que terminaban en «navy-mil.us». El dispositivo fue enviado y recibido, lo que afortunadamente condujo a la identificación y arresto de la persona detrás de la estafa. Pero los atacantes saben exactamente qué tipo de cuentas de correo electrónico configurar, a qué funcionarios contactar, cómo diseñar y escribir órdenes de compra y qué dispositivos especificar.

En otro ejemplo, los atacantes se infiltraron y monitorearon las cuentas de Microsoft 365 de tres compañías financieras. Después de crear dominios similares para estas empresas y sus socios, cuentas y bancos, los delincuentes desvían ciertos correos electrónicos a estos dominios falsos. Usando este tipo de esquema de «intermediario», el grupo detrás de la campaña logró solicitar y recibir remesas por valor de más de $ 1,3 millones.

Para ayudar a su organización y a sus empleados a luchar contra los ataques BEC, Check Point ofrece los siguientes consejos:

1. Proteja su tráfico de correo electrónico Al menos una capa de soluciones avanzadas de seguridad de correo electrónico de proveedores acreditados. Los jugadores de nicho y las soluciones de código abierto pueden hacer más daño que bien.
2. Navegación móvil segura y de punto final Use soluciones de seguridad de red avanzadas para evitar navegar por sitios web de phishing conocidos o desconocidos.
3. Usar autenticación de dos factores Verifique cualquier cambio en la información de la cuenta o en las instrucciones de transferencia bancaria.
4. Continúe educando a sus usuarios finalesSiempre que se realicen acciones irreversibles, como transferencias de dinero, los detalles de la transacción deben verificarse mediante otros métodos, como la comunicación por voz, y no deben basarse únicamente en la información de las comunicaciones por correo electrónico.
5. Verifique la dirección de correo electrónico completa en cualquier mensaje Y tenga cuidado con los hipervínculos que pueden contener errores ortográficos del nombre de dominio real.
6. No se proporcionaron credenciales de inicio de sesión o responder a un mensaje de texto o correo electrónico con información personal.
7. Seguimiento periódico de las cuentas financieras.
8. Asegúrate de estar usando una solución de seguridad de correo electrónico Esto evita que los ataques de phishing sofisticados, como BEC, lleguen a los buzones de correo de los empleados en primer lugar.