Compromiso de correo electrónico comercial (BEC)


Publicidad

Business Email Compromise (BEC) es un tipo de estafa dirigida a empresas que realizan transferencias electrónicas y tienen proveedores en el extranjero. Las cuentas de correo electrónico corporativas o públicamente disponibles de ejecutivos o empleados de alto nivel relacionados con las finanzas o involucradas con pagos por transferencia bancaria son falsificadas o comprometidas a través de keyloggers o ataques de phishing para realizar transferencias fraudulentas, lo que resulta en pérdidas de cientos de miles de dólares. En 2016, los ataques BEC llevaron a un promedio de US $ 140,000 en pérdidas para las empresas a nivel mundial.  

Anteriormente conocidos como estafas de Man-in-the-Email, los atacantes de BEC dependen en gran medida de las tácticas de ingeniería social para engañar a los empleados y ejecutivos desprevenidos. A menudo, se hacen pasar por CEO o cualquier ejecutivo autorizado para hacer transferencias bancarias. Además, los estafadores también investigan y monitorean cuidadosamente sus posibles víctimas objetivo y sus organizaciones.

Algunos de los mensajes de correo electrónico de muestra tienen asuntos que contienen palabras como solicitud , pago , transferencia y urgente , entre otros. Según el FBI, hay 5 tipos de estafas BEC :

  • El esquema de facturas falsas: las empresas con proveedores extranjeros a menudo son blanco de esta táctica, en la que los atacantes fingen ser los proveedores que solicitan transferencias de fondos para pagos a una cuenta propiedad de estafadores. 
  • Fraude del CEO: los atacantes se hacen pasar por el CEO de la empresa o cualquier ejecutivo y envían un correo electrónico a los empleados de finanzas, solicitándoles que transfieran dinero a la cuenta que controlan.
  • Compromiso de la cuenta: la cuenta de correo electrónico de un ejecutivo o empleado es pirateada y utilizada para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. Los pagos se envían a cuentas bancarias fraudulentas.
  • Suplantación de identidad: los atacantes fingen ser un abogado o alguien del bufete de abogados supuestamente a cargo de asuntos cruciales y confidenciales. Normalmente, estas solicitudes falsas se realizan por correo electrónico o por teléfono, y durante el final del día hábil.
  • Robo de datos: los empleados bajo RRHH y contabilidad están destinados a obtener información de identificación personal (PII) o declaraciones de impuestos de empleados y ejecutivos. Dichos datos pueden usarse para futuros ataques.

Debido a que estas estafas no tienen ningún enlace malicioso o archivos adjuntos, pueden evadir las soluciones tradicionales. La capacitación y el conocimiento de los empleados pueden ayudar a las empresas a detectar este tipo de estafa.

Fuente: trendmicro.com

Mario Meneses

Saludos

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .