Una serie de campañas de Compromiso de
Correo Electrónico de Empresas (o BEC-Business EMail Compromise) se han
dirigido a ejecutivos de más de 1,000 compañías, recientemente en los
Estados Unidos y Canadá. El fraude del CEO tiene como objetivo engañar a
empleados que tienen acceso a los recursos económicos para que paguen a
un proveedor falso o hagan una transferencia desde la cuenta de la
compañía.
Estas campañas forman parte y tienen un
correlato con lo que comúnmente se conoce como ESTAFA DEL CEO. Hemos
registrado y participado del análisis forense de más de dos
docenas de casos en Argentina de los cuales cerca del 50% CONCRETÓ LA
OPERACIÓN. En general se trata de víctimas (empresas e individuos) con
presencia regional/global, que fueron estafadas mediante transferencias
de entre u$S 500.000 y u$S 3.000.000, que llegan a cuentas de
ciberdelincuentes.
Está claro que el confinamiento ha generado
la tormenta perfecta para que los ciberdelincuentes se aprovechen de la
situación y no cesen de enviar ataques masivos de los que se aprovechan
para cometer no solo una sino dos o tres estafas a la vez. Saben que el
estado de alarma ha originado que sean muchos los trabajadores que
estos días se conectan a la empresa desde casa. Eso es para ellos una
puerta de acceso tanto a los datos personales de las víctimas como de
las empresas en las que trabaja y con las que se conectan cada día. Y
una de las estafas que en estos días vuelve a estar de moda es la del
CEO.
El vector para el ataque
Campañas de BEC en curso se han
dirigido a las cuentas de Office 365 de ejecutivos comerciales desde
marzo de 2020. En este caso los atacantes, denominados Water Nue, se han
dirigido a ejecutivos de más de 1.000 empresas, más recientemente las que ocupan puestos de alto nivel en los EE.UU. y Canadá.
Los objetivos principales son los
funcionarios y ejecutivos financieros, a quienes atacan con el objeto de
robar credenciales para realizar más fraudes. Sus correos electrónicos
de phishing redirigen a las víctimas a páginas de inicio de sesión
falsas de Office 365. Con credenciales robadas, los delincuentes envían
correos electrónicos a los subordinados de los ejecutivos que contienen
facturas con información bancaria alterada para que puedan intentar
robar fondos a través de solicitudes de transferencia.
Water Nue tiene éxito en apuntar a
empleados de alto nivel, el uso de servicios en la nube les permitió
invisibilizar los ataques al alojar la infraestructura en los servicios
de sus víctimas, lo que dificulta que los equipos forenses detecten su
actividad. Esta técnica se ha vuelto cada vez más común entre los
ciberdelincuentes.
Los ataques BEC son un problema constante y costoso para las organizaciones. En
febrero, el FBI publicó su Informe de delitos en Internet, y señaló que
recibió casi 24.000 quejas sobre estafas de BEC en 2019, con una
pérdida total de $ 1.7 mil millones y un aumento del 269% en los ataques BEC en el último trimestre del 2019.
En marzo de este año y en plena Pandemia se
descubrió que otra banda, en este caso estafadores nigerianos, había
incrementado sus propios esquemas BEC, utilizando malware y kits de
phishing mucho más sofisticados para hacerse pasar por ejecutivos y
robar dinero en efectivo de las empresas. Esta pandilla denominada
SilverTerrier, fue responsable de la mayor parte de estos ataques: 2,1
millones de BEC en 2019. La creciente aparición de estas bandas de
delincuentes cibernéticos se produce en un momento en que los ataques
BEC están aumentando a nivel mundial. En septiembre de 2019, el
Departamento de Justicia de EE.UU. anunció que 281 personas, de las
cuales 167 eran nigerianas, fueron arrestadas como parte de un esfuerzo
coordinado para interrumpir el esquema de BEC. SilverTerrier ha estado
activo desde al menos 2014 y actúa como una organización paraguas para
unas 480 personas. A la fecha el grupo produjo más de 90.000 muestras de
malware.
Roban 2,4 millones de euros con la estafa del CEO, once detenidos
En mayo de este año y en plena Pandemia en
España, 11 ciberdelincuentes detenidos habrían robado más de 2.400.000
euros a empresas y particulares de múltiples países. Realizaban fraudes a
través de recursos tecnológicos valiéndose de métodos de ingeniería
social.
Utilizaban más de 150 cuentas bancarias de
las que se habrían valido para defraudar a empresas situadas en Italia,
República Checa, Estados Unidos, Líbano, China, Kazajistán o Países
Bajos. Utilizaban técnicas de phishing y la conocida como ‘estafa del
CEO’, que consiste en engañar a un empleado de alto rango de una empresa
mediante un email que simula ser de su jefe, CEO, Presidente o
Director, en el que se pide realizar una supuesta operación financiera
confidencial y urgente, que sin embargo tiene por destinatario a los
timadores. La pesquisa demandó casi dos años, y determinó la existencia
de un grupo organizado de ciberdelincuentes especializados en dos
modalidades de fraude: el phishing y la estafa del CEO.
Las 150 cuentas bancarias que constituían
una compleja red de intermediarios eran utilizadas para ocultar el
origen fraudulento del dinero obtenido y, además, dificultar la
identificación de los destinatarios finales de las cantidades obtenidas
de forma ilícita.
Arquitectura de “el fraude del CEO”
La estafa del CEO es una modalidad
delictiva que se caracteriza porque, a diferencia del phishing, la
víctima tiene un perfil establecido y definido: un empleado con acceso a
los recursos económicos de una empresa y que ha sido estudiado y
seleccionado previamente en base a los objetivos de los delincuentes.
Básicamente el engaño consiste en que un empleado de alto rango o
el contable de la empresa con capacidad para hacer transferencias o
acceso a datos de cuentas bancarias, recibe un correo electrónico,
supuestamente de su jefe, ya sea su CEO, presidente o director de la
compañía. En este mensaje le pide ayuda para realizar una operación
financiera confidencial y urgente. Si el trabajador no se percata del
engaño puede revelar datos sensibles a los estafadores o directamente
transferirles fondos.
Con base en nuestra experiencia de
campo las víctimas de un ataque de este tipo son firmes candidatos a
largo plazo a nuevos intentos del mismo tipo de fraude.
¿Cómo lo hacen?
- Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (p. ej. el Director General).
- Conoce bien cómo funciona la organización.
- Solicita que se haga un pago urgente.
- El empleado transfiere los fondos a una cuenta controlada por el estafador.
- Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona o por correo electrónico.
- Usa expresiones como “Confidencialidad”, “La compañía confía en ti”, “Ahora mismo no estoy disponible”.
- Hace referencia a una situación delicada (p. ej. una inspección fiscal, una fusión o una adquisición).
- Solicita al empleado que no siga los procedimientos de autorización habituales.
¿Qué señales te alertarán?
- Correo electrónico o llamada telefónica no solicitados
- Presión y carácter de urgencia
- Comunicación directa con un alto cargo con el que normalmente no estás en contacto
- Solicitud fuera de lugar que contradice los procedimientos internos
- Solicitud de absoluta confidencialidad
- Amenazas, comentarios aduladores o promesas de recompensa
¿Qué puedes hacer?
Como empresa
- Sé consciente de los riesgos y asegúrate que los empleados también lo estén
- Motiva a tus equipos a ser precavidos cuando les soliciten un pago
- Implementa protocolos internos para los pagos
- Implementa un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo
- Establece procedimientos para gestionar el fraude
- Revisa el contenido del portal web de tu empresa, limita la información y sé cauteloso en las redes sociales
Como empleado
- Respeta estrictamente los procedimientos de seguridad vigentes para los pagos y las compras
- No te saltees ningún paso y no cedas a la presión
- Revisa siempre con cuidado las direcciones de correo cuando manejes información delicada o hagas transferencias
- En caso de duda sobre una orden de transferencia, consulta a un compañero experto
- No abras nunca enlaces o adjuntos sospechosos recibidos por correo. Ten especial cuidado al consultar tu correo personal en los ordenadores de la empresa
- Limita la información y sé cauto en las redes sociales
- No compartas información sobre el organigrama, la seguridad y los procedimientos de tu compañía
No hay comentarios:
Publicar un comentario