Un ciudadano nigeriano llamado Olusegun Samson Adejorin ha sido arrestado en Ghana y deberá responder por sus ataques de compromiso de correo electrónico empresarial (BEC), que ocasionaron grandes pérdidas a una ONG americana.
En los ataques BEC o Business Email Compromise los cibermalos los atacantes comprometen una cuenta de correo de un empleado que suele ser directivo o un alto cargo para, después, engañar a otros o difundir otras amenazas. En este caso, los amigos de lo ajeno no requieren muchos conocimientos técnicos y solo deben explotar la naturaleza humana y sus debilidades.
Adejorin se enfrenta a ocho cargos distintos de un gran juzgado federal de EE.UU., como fraude electrónico, robo de identidad agravado y acceso no autorizado a una computadora protegida vinculado a ataques dirigidos a dos organizaciones benéficas con sede en Maryland.
En un anuncio realizado por el Departamento de Justicia de EE.UU. (DoJ) se revela que el plan de fraude del hacker se dio entre junio y agosto de 2020 e implicó el acceso no autorizado a cuentas de email, así como la suplantación de empleados.
Adejorin se hizo pasar por un trabajador de una ONG y pidió grandes retiros de fondos de otra organización benéfica, que brindaba servicios de inversión a la primera. La segunda ONG pensaba en todo momento que estaba depositando las cantidades en cuentas bancarias legítimas.
Para poder procesar de manera exitosa retiros de dinero que superaban los 10.000 dólares, el cibermalo usó credenciales robadas enviando emails desde cuentas de empleados que necesitaban aprobar las transacciones, según recoge Bleeping Computer. En total, el ciberdelincuente llegó a malversar 7,5 millones de dólares.
Pero, ¿Cómo lo hizo? El Departamento de Justicia aclara que, como parte de su plan, el hacker adquirió una herramienta de recolección de credenciales diseñada para robar datos de inicio de sesión del correo electrónico y registró nombres de dominio falsos. Además, movía los emails fraudulentos dentro de una ubicación distinta dentro del sitio del empleado, para no ser 'cazado'.
Le esperan algunos años 'a la sombra'
Ahora Adejorin podría cumplir una pena máxima de prisión de 20 años por fraude electrónico, 5 años por acceso no autorizado a un ordenador protegido y una sentencia obligatoria de 2 años por robo de identidad agravado.
El anuncio del Departamento de Justicia de EE.UU. también señala que la sentencia puede ampliarse 7 años por registro y uso malicioso de un nombre de dominio.