En el 2019, las estafas de compromiso de correo electrónico comercial (BEC) concentraron más de la mitad de los daños financieros a empresas por delitos de ciberseguridad, según informó Proofpoint el pasado mes de septiembre. Entonces, los calificó como uno de los más lucrativos para los ciberdelincuentes, junto con las estafas de cuentas de correo electrónico (EAC), y explicó algunas tácticas que utilizan, como el pago a los empleados, una de las más beneficiosas.
Ahora, la compañía de ciberseguridad y cumplimiento normativo ha vuelto a advertir sobre el peligro de los ataques BEC en un comunicado en el que ha aportado más información acerca de estas ciberestafas.
Según ha comenzado señalando, cada día bloquean más de 15.000 ataques BEC, o lo que es lo mismo, alrededor de cuatro millones de mensajes cada año en los que se vulneran correos electrónicos empresariales. "Existen diversas tácticas con las que los ciberdelincuentes se aproximan a sus víctimas, pero todas ellas se basan en la suplantación de identidad e ingeniería social para convencer al usuario de que mande dinero a los atacantes", añade.
Supuestas facturas a los proveedores, la nueva táctica
Proofpoint prosigue indicando que, actualmente, uno de los ataques BEC más lucrativos para los defraudadores tiene que ver con supuestas facturas a los proveedores. En este sentido, advierte que pueden llegar a ser tan convincentes que incluso personas con experiencia o cierto renombre caen en ellas. Como ejemplo, cita el caso que vivió la empresaria Barbara Corcoran el pasado febrero, cuando estuvo a punto de perder cerca de 400.000 dólares por unas facturas falsas.
"Las estafas relacionadas con facturación a proveedores siguen unos esquemas un tanto sofisticados y complejos para hacerse con el dinero de las víctimas, ya sea presentando facturas falsas como si fueran legítimas o bien redirigiendo pagos a cuentas bancarias controladas por los ciberdelincuentes. Si se tienen en cuenta las cantidades económicas en juego en este tipo de ataques BEC, no es difícil hacerse una idea de lo costosos que son para las organizaciones y de las cuantiosas recompensas que perciben los atacantes", alerta la compañía, que asegura haber detenido incidentes que habrían reportado cada uno millones de dólares a los ciberdelincuentes en caso de que se hubiesen completado con éxito.
Las claves de esta estafa BEC
Proofpoint también señala que, a diferencia de otros fraudes BEC en los que se envía un correo electrónico a un empleado de una organización, las estafas relacionadas con proveedores se realizan en distintas etapas contra múltiples individuos y organizaciones. Los investigadores de la firma han observado que muchos de estos ataques se originan desde una cuenta legítima que ha sido comprometida.
"Estas cuentas son muy valoradas entre los ciberdelincuentes, ya que cualquier e-mail fraudulento que se envíe desde ellas pasará distintos controles de autenticación para correo electrónico (por ejemplo: DKIM, SPF o DMARC). Una vez que se detecta una transacción, el atacante 'secuestra' la conversación por email acerca de este movimiento. Al tratarse de un mensaje ya en curso sobre el tema, este tiene mayor credibilidad para la posible víctima. A partir de este momento, el atacante suele cambiar de táctica y suplanta la cuenta del proveedor, la cual inserta en los campos de respuesta o copia en la conversación de correo electrónico. Esto le permitirá mantener la comunicación con la víctima cuando la cuenta comprometida quede reparada, siguiendo el hilo a través de la cuenta suplantada", explica la compañía.
Además, Proofpoint señala que en estos mensajes no hay cargas de malware, ni archivos o enlaces maliciosos que inciten a la víctimas a hacer clic en ellos, pero que entremezclan el engaño, la autoridad y la urgencia, junto con las tácticas de compromiso de cuentas y suplantación de identidad, para hacer que una solicitud falsa de cambio de cuenta bancaria parezca veraz y que la víctima pague el dinero de unas facturas directamente a los ciberdelincuentes. "Es muy difícil, por no decir casi imposible, que los usuarios sepan identificar estos ataques de 'secuestro de hilos' o thread hijacking, de ahí que sea particularmente necesario y útil establecer contramedidas de carácter tecnológico", agrega.