El ataque al correo electrónico empresarial (BEC) es un tipo de ciberdelito donde el estafador utiliza el correo electrónico para engañar a alguien para que envíe dinero o revele información confidencial de la empresa. El usuario malintencionado se hace pasar por alguien de confianza y solicita el pago de una factura falsa o pide datos confidenciales para utilizarlos en otra estafa. Las estafas de BEC están en alza, debido entre otras cosas, a que el sistema bancario lo facilita.
Este tipo de ataque de ingeniería social, no solo nos manipula a nosotros, si no que se aprovecha de un fallo sistémico bancario, que, gracias al mismo, sitúa con ventaja a los delincuentes tecnológicos frente al común de los mortales. Y ellos lo saben.
¿Cómo funcionan las estafas de BEC?
- Los estafadores investigan a sus objetivos y determinan cómo fingir su identidad. A veces, crean sitios web falsos o incluso registran empresas con el mismo nombre que la tuya en otro país.
- Una vez tienen acceso, los estafadores supervisan los correos electrónicos para averiguar quién puede enviar o recibir dinero. También consultan las facturas y los patrones de conversación.
- Durante una conversación por correo, el estafador suplanta la identidad de una de las partes suplantando el dominio de correo electrónico. (La dirección de correo electrónico puede cambiar solo en una letra o dos, o puede ser la dirección correcta «a través de» un dominio diferente, por ejemplo, chris@contoso.com a través de fabrikam.com.)
- El estafador intenta ganarse la confianza del objetivo y después solicita dinero, tarjetas regalo o información.
Objetivos del ataque al correo electrónico empresarial
Cualquier usuario puede ser el objetivo de una estafa de BEC. Los objetivos pueden ser empresas, gobiernos, ONG y escuelas, específicamente estos roles: - Ejecutivos y líderes, porque a menudo se publican sus datos en el sitio web de la empresa, de forma que los atacantes pueden fingir conocerlos.
- Empleados del departamento financiero, por ejemplo, interventores y personal de cuentas por pagar que manejan datos bancarios, métodos de pago y números de cuenta.
- directores de RR. HH. con registros de empleados como, por ejemplo, números del seguro social, declaraciones de impuestos, información de contacto y agendas.
- Empleados nuevos o de nivel de entrada, que no podrán verificar la legitimidad de un correo electrónico con el remitente.
Los peligros del BEC
Si un ataque al correo electrónico empresarial es satisfactorio, tu organización puede: - Perder cientos de miles de millones de dólares.
- Enfrentarse a un robo de identidad generalizado si se roba información de identificación personal.
- Filtrar accidentalmente datos confidenciales como, por ejemplo, propiedad intelectual e industrial.
En este país da igual que nombre de titular pongas cuando realices una transferencia, solo se verifica que el IBAN este correcto nada más. El sistema da por bueno únicamente el número de cuenta y no verifica la titularidad. Me pregunto por que seguimos permitiendo que esto ocurra,
Consejos para prevenir el BEC
Haz que tu correo electrónico sea más difícil de atacar activando la autenticación multifactor, que requiere un código, PIN o huella digital para iniciar una sesión, además de tu contraseña.
Asegúrate de que todos los empleados sepan cómo detectar vínculos de phishing, una discrepancia de dominio y dirección de correo electrónico, y otras señales de alerta. Simula una estafa de BEC para que los empleados puedan reconocer una cuando ocurra.
Los administradores pueden reforzar los requisitos de seguridad en toda la organización exigiéndoles el uso de MFA, solicitando autenticación a los accesos nuevos o de riesgo, y obligando a restablecer contraseñas si se filtra información.
Haz que tu correo electrónico sea más difícil de suplantar autenticando a los remitentes con el Marco de directivas de remitente (SPF), DomainKeys Identified Mail (DKIM) y la Autenticación de mensajes, informes y conformidad basada en dominios (DMARC).
Adoptar una plataforma de pagos seguros
La gran solución
Pero ¿sabes que todas estas medidas no serían necesarias si la entidad financiera comprobara la titularidad con el IBAN de la cuenta corriente cuándo realizáramos una transferencia ? Te explico.
Todo el proceso de esta ciberestafa se basa en cambiar el numero de cuenta del proveedor habitual que tienes, por el de la cuenta de los malotes. Te cuento como lo suelen hacer, veras.
Suelen aprovechar un hilo de mails y cambian tus reglas de recepción de correo sin que te des cuenta, es entonces cuando se interponen entre el correo real (ataque de intermediario) y lanzan el suyo usurpando la identidad de tu proveedor y solicitando cambio de numero de cuanta o inclusive clonando la factura de tu proveedor, pero cambiando el número de cuenta de esta por la suya.
Este tipo de ataque de ingeniería social, no solo nos manipula a nosotros, si no que se aprovecha de un fallo sistémico bancario, que, gracias al mismo, sitúa con ventaja a los delincuentes tecnológicos frente al común de los mortales. Y ellos lo saben.
Tan solo con que el banco de España lanzara una orden para que las entidades financieras y de crédito no pudieran realizar transferencias a cuentas que no coincidan los titulares de estas con sus números de cta. mitigaríamos en un 90% este tipo de ataque. Y créeme este tipo de ataque está haciendo mucho daño a nuestro tejido empresarial.
En este país da igual que nombre de titular pongas solo se verifica que el IBAN este correcto nada más. El sistema da por bueno únicamente el número de cuenta y no verifica la titularidad. Me pregunto por que seguimos permitiendo que esto ocurra, si el cambio es tan sencillo. Ah¡¡ y no admito que cueste mucho hacerlo, el coste, bla, bla, bla y mientras tanto, mas de 1 millón de victima sufriendo. Querer es poder.
Fuente parcial de información: https://www.microsoft.com/es-es/security/business/security-101/what-is-business-email-compromise-bec