Los ataques BEC (Business Email Compromise) es uno de los tipos de ataques de phishing mediante ingeniería social más dañinos y costosos que existen, y les cuesta a las empresas miles de millones de dólares cada año, tiene como objetivo engañar a los empleados para que realicen acciones perjudiciales, normalmente enviando dinero al atacante. También conocido como estafa del CEO, Los ciberdelincuentes se hacen pasar por personas de confianza, como ejecutivos, directivos o proveedores e intentan hacer que un empleado, cliente o vendedor transfiera fondos o información confidencial al atacante.
Generalmente este tipo de ataques termina con un fraude, ya que su fin es totalmente económico. Esta estafa continua en crecimiento y actualmente afecta a pequeñas, medianas y grandes empresas a nivel mundial.
¿Cómo funciona?
Un ataque BEC se basa en la capacidad de parecer alguien con poder dentro de una empresa o un socio externo de confianza. Un atacante puede lograr esto de diferentes maneras, entre ellas:
- Suplantación de dominio: la verificación de la dirección de correo electrónico no está integrada en el protocolo de correo electrónico (SMTP) de forma predeterminada. Esto significa que un atacante puede falsificar el nombre para mostrar y la dirección del remitente de un correo electrónico para que parezca que proviene de la empresa o de un proveedor confiable.
- Dominios similares: los dominios similares están diseñados para aprovechar caracteres que pueden confundirse fácilmente. Por ejemplo, los dominios company.com y cornpany.com se parecen lo suficiente como para engañar a alguien que no preste atención.
- Cuentas comprometidas: si un atacante tiene acceso a una cuenta legítima, puede usarla en un ataque BEC. Esto agrega un nivel de autenticidad porque el correo electrónico en realidad proviene de una dirección confiable.
¿Cómo identificar un ataque BEC?
Algunos de los mensajes de correo electrónico BEC tienen asuntos que contienen palabras como solicitud, pago, transferencia, urgente, entre otras. Según el FBI, existen 5 tipos de estafas BEC:
- El esquema de facturas falsas: los atacantes se hacen pasar por proveedores reales de la organización solicitando transferencias de fondos para pagos a una cuenta bancaria controlada por los estafadores.
- Fraude del director ejecutivo (CEO): los atacantes se hacen pasar por el director ejecutivo de la empresa o cualquier ejecutivo y envían un correo electrónico a los empleados del sector financiero, solicitándoles que transfieran dinero a la cuenta que controlan.
- Cuentas comprometidas: la cuenta de correo electrónico de un ejecutivo o empleado es hackeada y utilizada para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. Luego, los pagos se envían a cuentas bancarias fraudulentas.
- Suplantación de abogado: los atacantes se hacen pasar por un abogado o alguien del bufete de abogados supuestamente a cargo de asuntos cruciales y confidenciales. Normalmente, estas solicitudes falsas se realizan por correo electrónico o por teléfono y al final del día hábil.
- Robo de datos: Este tipo de ataque se dirige al personal de Recursos Humanos y Finanzas con el fin de intentar robar información confidencial sobre los empleados de una organización. Esta información luego puede venderse en la Dark Web o utilizarse para planificar y ejecutar futuros ataques.
Lo que diferencia los ataques BEC del phishing tradicional es que estas estafas no suelen tener enlaces ni archivos maliciosos adjuntos, por lo tanto, pueden evadir las soluciones de seguridad tradicionales. La formación y la concientización de los empleados pueden ayudar a las empresas a detectar este tipo de estafa.
¿Cómo prevenir los ataques BEC?
- Utilizar una solución de correo electrónico segura: estas soluciones suelen marcar y suprimir automáticamente los correos sospechosos o te avisan de que el remitente no se ha verificado, puedes bloquear o enviar a cuarentena determinados remitentes y notificar correos como no deseados e incluso cuentan con características de prevención de BEC como la protección contra phishing avanzada y la detección de reenvíos sospechosos.
- Añadir protección DMARC: El uso de DMARC (autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés) en un dominio reduce drásticamente la exposición de la organización a los mensajes de phishing,los intentos de suplantación de identidad y el fraude.
- Utilizar un registro SPF(Sender Policy Framework) para que los demás sepan de qué servidor autorizado debe proceder el correo electrónico corporativo.
- Utilizar técnica de autenticación DKIM (Domain Keys Identified Mail), valida los mensajes enviados para combatir los intentos de suplantación.
- Utilizar los controles internos de cuentas: Es preciso revisar o crear procedimientos que el personal deba llevar a cabo antes de mover dinero, cambiar datos de una cuenta o enviar información sensible.
- Formación sobre phishing: Las campañas de phishing pueden ayudar a entrenar al personal para que sea capaz de identificar los mensajes sospechosos mediante el envío de mensajes de phishing «de prueba».
- Marcar los emails como externos: Los administradores del correo electrónico corporativo pueden crear una regla en el servidor de correo que etiquete los mensajes como externos. Esto ayuda al personal a identificar fácilmente cuando un mensaje proviene de fuera de la organización.
- Autenticación multifactor (MFA): Esta tecnología de seguridad añade una capa adicional de protección al correo corporativo. Esto contribuye a prevenir el fraude, incluso cuando se roban las credenciales.
- Adoptar una plataforma de pagos seguros: Se recomienda cambiar de las facturas por correo electrónico a un sistema diseñado específicamente para autenticar los pagos.