Se han usado cantidades interminables de tinta para analizar e informar sobre la avalancha de ataques de ransomware en los últimos años. Pero el ransomware no es la amenaza de seguridad más desagradable a la que se enfrentan las empresas. Hay otra categoría de ciberataque que tiene el potencial de causar más problemas y causar más daño que el ransomware: compromiso de correo electrónico empresarial (BEC). Este operador sigiloso ha estado prosperando silenciosamente a la sombra del ransomware, dejándolo “fuera de la vista y de la mente” para muchas organizaciones. Sin embargo, debería estar en el radar de todos los profesionales de TI porque, si bien es posible que BEC no aparezca en los titulares con frecuencia, es sin duda la amenaza más grande y más mala del bloque.

El compromiso de correo electrónico comercial (BEC) , a veces llamado compromiso de cuenta de correo electrónico (EAC), es un ataque cibernético basado en phishing que utiliza cuentas de correo electrónico legítimas (o recién robadas) de una fuente aparentemente confiable para adquirir dinero, información personal , detalles financieros, pagos, crédito de manera fraudulenta,  números de tarjeta y otros datos de una empresa. Estas estafas pueden estar dirigidas a empresas que utilizan transferencias bancarias, proveedores extranjeros y otras transacciones de facturas. También pueden perpetrarse contra empleados para obtener datos, acceder a activos o dinero.

¿Cuáles son algunas variedades de compromiso de correo electrónico comercial?

El compromiso del correo electrónico comercial no es una propuesta única para todos. Es especialmente difícil de detectar porque es un esquema que puede tomar muchas formas.

Estafas de pago requeridas con urgencia

Las estafas de facturas falsas son la variación BEC más común. En este escenario, alguien con la autoridad para pagar a los proveedores de una organización recibe una factura de apariencia legítima de una empresa con la que su organización hace negocios exigiendo el pago inmediato para evitar la pérdida de bienes o servicios.

Tarjetas de regalo y transferencias bancarias 

El dinero es el objetivo detrás de BEC. Los ciberdelincuentes a menudo exigen que se les transfiera el pago por motivos fraudulentos mediante transferencia bancaria, aplicación de efectivo o tarjeta de regalo. Esto es especialmente común en escenarios de fraude de CEO, donde un empleado es engañado a través de la ingeniería social para que transfiera fondos a alguien que se hace pasar por un ejecutivo de su empresa electrónicamente o usando una tarjeta de regalo. Se estima que el 62% de las estafas de BEC involucran al ciberdelincuente que solicita tarjetas de regalo, transferencias de aplicaciones de efectivo o tarjetas de dinero.

Estafas con compromiso de credenciales 

En esta variante de BEC, los estafadores le pedirán a la víctima que proporcione credenciales para una cuenta comercial o acceso a los sistemas o datos de una empresa, a menudo con el pretexto de que han perdido las credenciales o no se les dieron las correctas para completar una tarea. Este es el escenario utilizado en el hackeo de Twitter de 2020, cuando un mal actor contactó a Twitter para obtener las credenciales del sistema mientras se hacía pasar por un especialista en reparación.

BEC sucede todo el tiempo

BEC es una amenaza constante, pero puede ser difícil de detectar porque puede tomar muchas formas, aunque es más probable que los empleados lo encuentren a través del phishing. Estos ejemplos de ataques BEC pueden ayudar a ilustrar cómo se vería un ataque BEC en la naturaleza.

• Apenas esta semana, informamos sobre un incidente de compromiso de correo electrónico comercial que afectó a la ciudad de Portland, Oregón. Los funcionarios de la ciudad dicen que los ciberdelincuentes obtuvieron acceso ilegal a una cuenta de correo electrónico de la ciudad. El compromiso de la cuenta se detectó en mayo de 2022 cuando la cuenta intentó una transferencia de fondos. Sin embargo, ya se había hecho un gran daño. Los malos ya habían obtenido un buen día de pago, completaron con éxito una transacción fraudulenta de $1.4 millones para pagarse a sí mismos con fondos de la ciudad en abril de 2022.

• Un empleado promedio de una empresa de Iowa recibió correos electrónicos que parecían ser de su contacto en una empresa legítima de Texas con la que la empresa de Iowa hacía negocios regularmente. En estos mensajes falsificados, la empresa de Texas cobró a la empresa de Iowa una factura legítima pendiente de pago. Pero el mensaje también le decía a la empresa de Iowa que la información bancaria de la empresa de Texas había cambiado y que era necesario enviar el pago a una nueva cuenta. La compañía de Iowa finalmente realizó dos transferencias electrónicas por un total de más de $265,000 antes de que alguien en cualquiera de las compañías descubriera que había sido víctima de una estafa de BEC.
• La ciudad de Peterborough, New Hampshire, perdió $2.3 millones después de que los estafadores engañaran a los empleados de la ciudad para que enviaran grandes pagos a las cuentas equivocadas. Después de que el sistema escolar local se quejara de que no había recibido los fondos que le habían sido asignados, los investigadores descubrieron que los estafadores habían usado cuentas de correo electrónico falsificadas y documentos falsificados para redirigir el pago del pueblo a cuentas bajo su control. Varios otros pagos a departamentos municipales y contratistas también habían sido robados por los mismos ciberdelincuentes. La pérdida total para la ciudad fue de $ 2,3 millones, casi el 15% de su presupuesto anual.

BEC es 64 veces peor que el ransomware

BEC no es una amenaza que nadie deba subestimar, y tiene el potencial de causar mucho más daño en muchos sentidos que otros ciberataques como el ransomware. El potencial de grandes ganancias es un gran incentivo para que las pandillas de ransomware conviertan sus operaciones a BEC. De hecho, el Centro de Quejas de Delitos en Internet de la Oficina Federal de Investigaciones de EE. UU. (FBI IC3) declaró que cuando se compararon las pérdidas anuales estimadas entre esos dos ataques cibernéticos, BEC resultó ser 64 veces peor que el ransomware para las finanzas de una empresa.

El Informe sobre delitos en Internet de IC3 de 2021 lo deja claro: BEC sigue siendo el campeón reinante de los riesgos . En los EE. aumentó sustancialmente en 2021. En 2020, BEC registró 19 369 quejas con una pérdida ajustada de aproximadamente $1800 millones. Pero para 2021, esos números de pérdida aumentaron significativamente. La categoría BEC mostró que los reclamantes de IC3 sufrieron $2,395,953,296 en pérdidas en 2021, un 28% más que el total récord de 2020 de $1,866,642,107, con un 3% más de quejas BEC totales.

Fuente: ID Agent