Estafadores que se hacen pasar por tu jefe: qué son los fraudes BEC y cómo puedes protegerte

61

El email de mi dirigente parecía tener sentido. Decía que un nuevo proveedor necesitaba un cuota urgente de US$60.000 para afianzar un anuencia importante.

Y quería efectuarlo lo antiguamente posible porque estaba de asueto y no quería preocuparse más sobre asuntos de trabajo.

Al director financiero asimismo le pareció que era verdad porque su superior ya había publicado una foto en Instagram de sus reposo en Grecia. Su dirección de email incluso parecía la auténtica.

Pero, por supuesto, no era el jerarca.

Era un estafador que había estado investigando y era un buen manipulador psicológico.

La pequeña empresa manufacturera en la que trabajaba -que prefiere perseverar en el anonimato- terminó perdiendo más de US$185.000 por aquel fraude.

Cuando el cierto principal se enteró de la nota, despidió al director financiero.

Pero esta historia es más popular de lo que parece. Se trata de las estafas BEC (Business Email Compromise; correos Electrónicos corporativos comprometidos, en castellano) y se están convirtiendo en una amenaza general.

El aberración ha conseguido defraudar caudal en 22.000 firmas y organizaciones de todo el mundo que han perdido más de US$3.000 millones en los últimos tres abriles a causa de esta estafa, según datos del Buró Federal de Investigaciones de EE.UU. (FBI, por sus siglas en inglés).

En marzo, el Área de Neutralidad de EE.UU. arrestó a Evaldas Rimasauskas, un hombre lituano de 48 abriles, por robar más de US$100 millones a dos compañías de internet gracias a esta técnica entre 2013 y 2015.

“Los fraudes por email son el tipo de ataque más popular entre nuestros clientes“, le dice a la BBC Edward Cowen, director ejecutor de Remora, una consultora de ciberseguridad con colchoneta en Reino Unido.

“Las pérdidas suelen ser de unos US$125.000, pero también hemos registrado robos millonarios. Un hacker casi logra defraudar más de US$7 millones”.


¿Cómo puedes protegerte?

El Centro de Quejas de Delitos por Internet (IC3) del FBI dice las estafas BEC son “una seria amenaza a nivel global” y “un fraude financiero creciente más sofisticados que otros que ha visto el FBI”.

Y proporciona los siguientes consejos:

“Paranoia pragmática”

Empresas de seguridad cibernética como Proofpoint dicen que sus sistemas son capaces de detectar emails fraudulentos. Y algunos programas de comprobación pueden ser de gran ayuda para dar con los impostores.

Pero hay métodos más sencillos.

“Cerca del 70% de los fraudes BEC pueden prevenirse con una simple llamada telefónica”, dice Cowen.

No confíes en que quien envía el email es tu director; verifica la solicitud de cuota en persona o por teléfono.

Galantear Singh, director ejecutor de la empresa de seguridad Cyber Management Alliance, que proporciona herramientas para contender contra ciberataques, dice que es necesaria una “paranoia pragmática”.

“Sé siempre más desconfiado cuando se trate de transacciones financieras”, aconseja.


El “eslabón más débil”

La firma de ciberseguridad estadounidense Proofpoint dijo que registraron un aumento del 45% de fraudes BEC en los últimos tres meses de 2016.

Dos tercios de esos ataques utilizaron el truco de falsificar la dirección de correo electrónico y hacer parecer que el mensaje procedía de cierto con un cargo suspensión en la estructura.

Pero, normalmente, si respondes a esos emails en el cuadro “Para” se muestra un nombre de dominio completamente diferente o un nombre de empresa que parece similar pero a menudo tiene una letrilla más o un par de saber intercambiadas.

Como a nuestros cerebros se les da muy correctamente hacer que palabras a las que les faltan humanidades cobren sentido, no solemos darnos cuenta de esos “errores”.

El asunto del email suele incluir términos como “urgente”, “pago” o “petición”.

“La gente sigue siendo el eslabón más débil en lo que respecta a ciberseguridad”, dice Rob Holmes, vicepresidente de producto de Proofpoint.

“Es un tipo de fraude bastante poco sofisticado desde una perspectiva tecnológica, pero los criminales hacen una extensa investigación de los altos ejecutivos para que sus emails parezcan auténticos”.

“Autoritario”

La táctica habitual de los estafadores es destinar un mensaje como si se tratara de una orden de un dirigente absoluto a sus subordinados del área de contabilidad.

“Cuanto menos experiencia tienen (los subordinados) más tienden a hacer lo que se les dice sin cuestionarlo”, dice Holmes.

“Así que si tu jefe es autoritario eres más propenso a ser víctima de este tipo de ataque”.

Otra táctica consiste en establecer una relación con otro miembro del equipo que asume que los emails fraudulentos los envía un directivo.

Una vez que el estafador ha conseguido engañar a esa persona, pide datos de nóminas o cualquier otra información útil.

Es posible falsificar el cuadro “De” en un correo electrónico y editar el nombre del remitente. De esa forma, en división de ver la dirección de email completa, los destinatarios sólo ven el nombre de la persona.

Los estafadores asimismo pueden incluir conversaciones con otros altos ejecutivos en el email debatiendo ese convenio o cuota al que se refieren.

Y si los hackers obtienen golpe a la memorándum de viajes los directivos, pueden hacer que el email suene más realista.

“Haz el pago ahora porque estaré en un avión durante las próximas 12 horas y estaré incomunicado”, podría leerse en un peculiar email BEC.

Al aprender que el cabecilla está fuera, sus empleados no suelen confirmar la petición de cuota en cuestión.

Adicionalmente, los estafadores suelen hacer un seguimiento de los emails con una señal telefónica de cierto que pretende ser un abogado o contable para “verificar” la transacción.

Todas estas técnicas agregan credibilidad a la mentira.

“Son personas muy inteligentes. A veces, los hackers se demoran seis meses solamente en reunir toda la información que necesitan para hacer que los emails sean creíbles”, dice Cowen.

 


Fuente:T13.cl