Sky cloud informó que el FBI recibió 21,832 Quejas BEC, con pérdidas estimadas que suman más de 2.7 millones de dólares el año pasado. El compromiso del correo electrónico comercial (BEC) ocurre en todo el mundo y la creciente estadística de este delito es alarmante. BEC ocurre cuando un pirata informático ingresa a una cuenta de correo electrónico corporativa real y la usa para engañar al destinatario para que haga algo que ayude al pirata informático. En la mayoría de los ataques BEC, el atacante se hace pasar por un ejecutivo de alto rango o un proveedor de confianza y envía un correo electrónico que parece real. El correo electrónico le pide al destinatario que haga algo, como transferir dinero, proporcionar información confidencial o descargar un archivo con malware. Desafortunadamente, estos correos electrónicos parecen convincentes y sofisticados y, como resultado, las personas y las empresas pueden perder mucho dinero. Por lo tanto, todas las empresas deben implementar sólidas medidas o herramientas de seguridad de correo electrónico para detener el ataque o el compromiso de BEC.
El medio para hacer esto incluye el uso de autenticación de dos factores, cifrado de correo electrónico y programas de capacitación para que los empleados los ayuden a detectar y evitar estafas de phishing.
Comprender el compromiso del correo electrónico comercial
El propósito de un Compromiso de correo electrónico comercial (BEC) es obtener acceso a información privada personal o grupal o recursos financieros haciéndose pasar por una empresa u organización legítima a través del correo electrónico. En un ataque BEC, un pirata informático generalmente enviará un correo electrónico fraudulento haciéndose pasar por una persona o entidad de confianza, como un ejecutivo de una empresa, un proveedor o un cliente.
El atacante puede usar varias tácticas para convencer al destinatario de que realice una acción específica, como transferir dinero, revelar información confidencial o hacer clic en un enlace o archivo adjunto malicioso. El correo electrónico puede estar cuidadosamente diseñado para parecer legítimo e incluso puede usar técnicas de ingeniería social para explotar las vulnerabilidades humanas.
Los ataques BEC son difíciles de detectar porque a menudo utilizan técnicas sofisticadas de ingeniería social para engañar a los empleados haciéndoles creer que el correo electrónico es real. Algunas variaciones comunes de los ataques BEC incluyen fraude de facturas, desvío de nómina y fraude de CEO, entre otros. Por lo tanto, las empresas deben utilizar fuertes medidas de seguridad de correo electrónico, como la autenticación de dos factores y el filtrado de correo electrónico, para protegerse de los ataques BEC. También deben enseñar a sus empleados sobre los riesgos del phishing y los ataques de ingeniería social. Además, las empresas deben contar con políticas y procedimientos para verificar la autenticidad de cualquier solicitud de información confidencial o transacciones financieras.
¿Cómo se hace BEC?
Los ataques BEC suelen ser muy sofisticados y pueden ser difíciles de detectar, ya que a menudo se basan en tácticas de ingeniería social y errores humanos en lugar de vulnerabilidades técnicas. Para protegerse contra los ataques BEC, las organizaciones deben implementar protocolos de seguridad sólidos, como la autenticación de múltiples factores, así como proporcionar programas de capacitación y concientización para sus empleados para ayudarlos a reconocer y evitar los ataques BEC. El compromiso de correo electrónico comercial (BEC) es un tipo de delito cibernético que implica el uso de correos electrónicos fraudulentos para engañar a las personas dentro de una organización para que realicen acciones que beneficien al atacante. Los ataques BEC normalmente implican los siguientes pasos:
#1. Reconocimiento
El atacante realiza una investigación sobre la organización objetivo, generalmente a través de tácticas de ingeniería social, para identificar a las personas clave y sus roles dentro de la organización.
#2. suplantación de identidad
El atacante crea un correo electrónico fraudulento que parece provenir de una fuente confiable, como un ejecutivo de alto rango dentro de la organización o un proveedor o distribuidor. El correo electrónico está diseñado para parecer legítimo y puede incluir detalles como el nombre del objetivo, el cargo y otra información relevante.
#3. Suplantación de identidad
El atacante envía el correo electrónico fraudulento a una o más personas dentro de la organización, generalmente solicitando que realicen una tarea como hacer clic en un enlace malicioso, transferir fondos a una cuenta específica o proporcionar información confidencial.
#4. Explotación
Si el objetivo cae en la estafa, sin saberlo, proporcionará al atacante la información o el acceso que necesita para llevar a cabo el ataque. Por ejemplo, si el atacante solicita una transferencia bancaria, el objetivo puede proporcionar al atacante detalles bancarios u otra información confidencial, que luego puede usarse para redirigir fondos a la cuenta del atacante.
¿Cuál es el objetivo principal de BEC?
El objetivo principal de Business Email Compromise (BEC) es engañar a las personas dentro de una organización para que realicen acciones que beneficien al atacante. El objetivo final del ataque suele ser el beneficio económico, aunque los atacantes también pueden estar interesados en robar información confidencial u obtener acceso a sistemas críticos.
Las técnicas de ingeniería social, como los correos electrónicos falsos, a menudo se usan en los ataques BEC para que los empleados hagan cosas que parecen legítimas pero que en realidad ayudan al atacante. Por ejemplo, un atacante puede enviar un correo electrónico que parece ser de un alto ejecutivo dentro de una organización, solicitando que se realice una transferencia bancaria a una cuenta específica. Si el empleado cae en la estafa, puede transferir fondos sin darse cuenta a la cuenta del atacante, lo que genera una pérdida financiera para la organización.
Los ataques BEC pueden hacer que los atacantes ganen mucho dinero porque pueden hacer que se envíen grandes cantidades de dinero a sus cuentas. Los ataques también pueden ser difíciles de detectar porque a menudo utilizan técnicas de ingeniería social y errores humanos en lugar de fallas técnicas. Debido a esto, es importante que las organizaciones cuenten con protocolos de seguridad sólidos y programas de capacitación y concientización para que sus empleados los ayuden a reconocer y evitar los ataques BEC.
¿Cuáles son los tipos de BEC?
Existen varios tipos de ataques de compromiso de correo electrónico empresarial (BEC), cada uno con sus propias características y métodos de ejecución específicos. Los siguientes son algunos de los tipos más comunes de ataques BEC:
#1. Fraude del director ejecutivo
En este tipo de ataque, el atacante se hace pasar por un ejecutivo de alto rango en la empresa, como el director ejecutivo o el director financiero, y envía un correo electrónico a un empleado pidiéndole que haga algo, como transferir dinero a una cuenta determinada.
#2. Estafas de facturas
En este ataque, el atacante se hace pasar por un proveedor o vendedor y envía un correo electrónico a un empleado solicitando el pago de una factura que no ha sido pagada. El correo electrónico puede incluir una factura fraudulenta o una solicitud de información de pago actualizada.
#3. Compromiso de cuenta
En este tipo de ataque, el atacante ingresa a la cuenta de correo electrónico de un empleado y la utiliza para enviar correos electrónicos falsos a otros empleados de la misma empresa. Estos correos electrónicos suelen pedir a otros empleados que transfieran dinero o proporcionen información confidencial.
#4. Suplantación de identidad de abogado
En este tipo de ataque, el atacante se hace pasar por un abogado o representante legal y envía un correo electrónico a un empleado, pidiéndole que haga algo como mover dinero a una cuenta determinada o dar información confidencial.
#5. Robo de datos
En este tipo de ataque, el atacante obtiene acceso a información confidencial, como credenciales de inicio de sesión o información financiera, a través de un correo electrónico fraudulento u otros medios. El atacante puede usar esta información para obtener ganancias financieras o para realizar más ataques.
Los ataques BEC suelen ser muy sofisticados y difíciles de detectar porque se basan en ingeniería social y errores humanos en lugar de fallas técnicas. Debido a esto, es importante que las organizaciones cuenten con protocolos de seguridad sólidos y programas de capacitación y concientización para que sus empleados los ayuden a reconocer y evitar los ataques BEC.
¿Quiénes son los objetivos del fraude BEC?
Los fraudes de compromiso de correo electrónico empresarial (BEC) pueden dirigirse a una amplia gama de personas y organizaciones, aunque normalmente se centran en empresas y otras entidades que realizan transacciones financieras con regularidad. Algunos objetivos comunes de los fraudes BEC incluyen:
#1. Grandes corporaciones
Las estafas de BEC también persiguen a las grandes empresas, que pueden tener estructuras y procesos financieros complicados que pueden usarse en su contra.
#2. Pequeñas y Medianas Empresas (PYMES)
Debido a sus controles de seguridad generalmente laxos y la falta de personal de seguridad y TI dedicado, las PYMES son con frecuencia el objetivo de los fraudes BEC. Estas empresas pueden ser más vulnerables a las tácticas de ingeniería social y otras formas de ciberdelincuencia.
#3. Agencias gubernamentales
Las estafas BEC también se pueden usar para tomar dinero de agencias gubernamentales, especialmente aquellas que manejan dinero o información confidencial.
#4. Organizaciones sin ánimo de lucro
Las organizaciones sin fines de lucro también son objetivos potenciales de los fraudes BEC, particularmente aquellas que manejan grandes cantidades de dinero o información confidencial.
#5. Individuos
Mientras que los fraudes de BEC generalmente se dirigen a empresas y organizaciones, e individuos. Por ejemplo, un atacante puede enviar un correo electrónico fraudulento a una persona que se hace pasar por un familiar o amigo que necesita asistencia financiera.
La ingeniería social y el error humano hacen que los fraudes BEC sean difíciles de detectar. Para evitar el fraude BEC, las personas y las organizaciones deben crear procesos de seguridad sólidos y llevar a cabo iniciativas de capacitación y concientización.
¿Qué es BEC vs EAC?
BEC (Compromiso de correo electrónico comercial) y EAC (Compromiso de cuenta de correo electrónico) son dos tipos de ataques cibernéticos similares pero distintos que implican el acceso no autorizado a cuentas de correo electrónico con el fin de obtener ganancias financieras.
Los ataques BEC generalmente implican el uso de tácticas de ingeniería social para engañar a los empleados para que transfieran fondos o revelen información confidencial al atacante. El atacante puede hacerse pasar por una persona de confianza, como un director ejecutivo o un proveedor, para engañar a la víctima. Los ataques BEC a menudo están muy dirigidos y pueden implicar un reconocimiento extenso para recopilar información sobre la organización objetivo.
Después de obtener acceso, el atacante puede utilizar la cuenta para phishing, robo de identidad o transacciones financieras ilegales.
Los ataques BEC utilizan la ingeniería social para persuadir a las víctimas de que completen actividades específicas, mientras que los ataques EAC requieren el acceso y la administración no autorizados de la cuenta de correo electrónico. Ambos pueden ser perjudiciales para las empresas y los individuos. La autenticación de múltiples factores y la capacitación en conciencia de seguridad pueden prevenir y mitigar ambos tipos de ataques.
¿Cuáles son los 4 tipos principales de hacks de correo electrónico?
Hay varios tipos de hacks de correo electrónico, pero aquí hay cuatro tipos principales:
#1. Hacks de correo electrónico basados en contraseñas
En este tipo de hackeo, el atacante obtiene acceso a una cuenta de correo electrónico adivinando o robando la contraseña del usuario. Los atacantes pueden obtener contraseñas de varias formas, como phishing, malware o ingeniería social.
#2. Trucos de suplantación de identidad por correo electrónico
Aquí, el atacante envía un correo electrónico que parece provenir de una fuente legítima, como un banco o una agencia gubernamental. Sin embargo, en realidad es fraudulento. Esto se puede usar para engañar a la víctima para que proporcione información confidencial o para lanzar más ataques.
#3. Hacks de reenvío de correo electrónico
En este tipo de pirateo, el atacante configura el reenvío de correo electrónico a una cuenta de correo electrónico diferente sin el conocimiento del usuario. Esto permite que el atacante lea y responda los correos electrónicos de la víctima sin su conocimiento.
#4. Hacks de interceptación de correo electrónico
En este tipo de pirateo, el atacante intercepta correos electrónicos a medida que la víctima los envía o los recibe. Lo hacen comprometiendo la red de la víctima o utilizando un ataque Man-in-the-Middle (MitM).
¿Cuánto cuesta un compromiso de correo electrónico comercial?
El costo de un ataque Business Email Compromise (BEC) puede variar ampliamente según varios factores. Esto puede incluir el tamaño de la organización, la cantidad de dinero robado y la duración del ataque. El Centro de Quejas de Delitos en Internet (IC3) del FBI dice que entre 2016 y 2019, los ataques BEC causaron pérdidas por más de $26 mil millones. Eso es bastante si me preguntas.
En algunos casos, las pérdidas de un ataque BEC pueden ser relativamente pequeñas, como unos pocos miles de dólares. Sin embargo, en otros casos, las pérdidas pueden ser mucho mayores. Por ejemplo, en 2019, un hombre lituano fue sentenciado a cinco años de prisión por su papel en un esquema BEC que defraudó a dos empresas tecnológicas en más de $ 100 millones.
Además de las pérdidas financieras directas de un ataque BEC, puede haber grandes costos indirectos, como el costo de investigar y corregir el ataque, la pérdida de productividad, el daño a la reputación y el riesgo de multas reglamentarias y acciones legales.
Las empresas deben tomar medidas para detener los ataques BEC. Esto incluye implementar controles de seguridad sólidos, brindar a los empleados programas de capacitación y concientización, y verificar todas las solicitudes de pago y los cambios en la información de pago a través de múltiples canales.
Ejemplo de compromiso de correo electrónico comercial
A business email compromise (BEC) is a type of cyberattack that targets businesses and organizations by impersonating a company executive or employee to deceive others into sending money, revealing sensitive information, or performing some action.
Supongamos que el director general de una empresa se llama John Smith y su dirección de correo electrónico es [email protected]. Un atacante crea una cuenta de correo electrónico falsa con una dirección similar a la de John, como [email protected], usando una letra 'r' de aspecto similar en lugar de una "i". Luego, el atacante envía un correo electrónico al contador de la empresa, pidiéndole que transfiera $ 50,000 a la cuenta bancaria de un proveedor, alegando que es un pago urgente que debe realizarse de inmediato.
El correo electrónico parece legítimo y el contador, sin sospechar nada, transfiere el dinero a la cuenta del vendedor. El atacante luego retira los fondos y desaparece, dejando a la empresa $50,000. Este es solo un ejemplo de cómo funcionan los ataques BEC, y pueden tomar muchas formas, como estafas de phishing o facturas falsas. Es importante que las empresas sean conscientes de este tipo de ataques y tomen medidas para protegerse, como implementar la autenticación multifactor y capacitar a los empleados para que sean conscientes de los peligros de BEC.
Estafa de compromiso de correo electrónico comercial
Una estafa de compromiso de correo electrónico comercial (BEC) es un tipo de ataque cibernético que implica la suplantación de una entidad comercial legítima para engañar a otros para que transfieran dinero, proporcionen información confidencial o realicen alguna acción. Así es como funciona una estafa BEC típica:
- El atacante generalmente ingresa a la cuenta de correo electrónico de un empleado mediante phishing o pirateando la red de la empresa.
- El atacante mira el correo electrónico del empleado para averiguar cómo hace negocios la empresa, como los nombres de los proveedores, las cantidades de dinero que normalmente se transfieren y cuándo se suelen realizar los pagos.
- Luego, el atacante se hace pasar por un ejecutivo de alto nivel, como el director ejecutivo, el director financiero o el director de operaciones, y envía un correo electrónico al empleado responsable de las transacciones financieras, como el contador o el tesorero.
- El correo electrónico le indica al empleado que realice un pago urgente a un proveedor o contratista, a menudo utilizando una factura falsa u otra documentación que parece legítima.
- El correo electrónico puede utilizar la urgencia, el miedo o la autoridad para presionar al empleado a realizar el pago rápidamente, sin cuestionar la solicitud.
- El empleado sigue las instrucciones porque cree que el correo electrónico es real. A menudo, esto significa enviar grandes cantidades de dinero a una cuenta falsa que controla el atacante.
- Luego, el atacante retira los fondos y desaparece, dejando a la empresa sin dinero y dañando potencialmente su reputación.
Ataque de compromiso de correo electrónico empresarial
Un ataque de compromiso de correo electrónico comercial (BEC) es un tipo de ataque cibernético que se dirige a las empresas haciéndose pasar por un ejecutivo o empleado de la empresa para engañar a otros para que envíen dinero, revelen información confidencial o realicen alguna acción. Muy a menudo, ocurre de la siguiente manera;
- En primer lugar, el atacante investiga la empresa objetivo y descubre quiénes son el director ejecutivo, el director financiero y otros ejecutivos de alto nivel.
- En segundo lugar, el atacante crea una cuenta de correo electrónico falsa o piratea una cuenta de correo electrónico existente que pertenece a uno de los miembros del personal clave.
- El atacante envía un correo electrónico cuidadosamente elaborado a otro empleado de la empresa, generalmente alguien del departamento de finanzas o contabilidad. El correo electrónico parece provenir del ejecutivo y puede usar un lenguaje y un tono coherentes con el estilo de comunicación del ejecutivo.
- El correo electrónico le pide al empleado que envíe una gran cantidad de dinero a una cuenta externa u ofrezca información confidencial, como registros de empleados, datos de clientes o propiedad intelectual.
- El correo electrónico puede utilizar la urgencia, el miedo o la autoridad para presionar al empleado a cumplir con la solicitud sin cuestionamiento.
- El empleado sigue la solicitud porque cree que el correo electrónico es real. Él o ella transfiere el dinero o da la información según las instrucciones.
- Luego, el atacante retira los fondos o utiliza la información para su propio beneficio, dejando a la corporación sin dinero y dañando potencialmente el negocio.
Herramientas de compromiso de correo electrónico empresarial
Los ataques de compromiso de correo electrónico empresarial (BEC) suelen utilizar técnicas de ingeniería social y no necesitan herramientas especiales ni malware. Estas herramientas y enfoques pueden ayudar a los estafadores de BEC, pero la ingeniería social suele ser su herramienta más eficaz. Las empresas deben utilizar la autenticación de dos factores, la detección de correo electrónico, el phishing y la capacitación en ingeniería social para evitar los ataques BEC. Las siguientes son algunas de las herramientas que los atacantes utilizaron para comprometer el correo electrónico comercial;
#1. Herramientas de recolección de correo electrónico
La primera en nuestra lista de herramientas de compromiso comercial es la herramienta de recolección de correo electrónico. El software de recolección de correo electrónico puede rastrear sitios web, redes sociales y otras fuentes en busca de direcciones de correo electrónico. Estas herramientas pueden ayudar a los atacantes a identificar objetivos potenciales y crear listas de direcciones de correo electrónico para atacar en sus estafas BEC.
#2. Herramientas de suplantación de identidad
Los atacantes pueden usar herramientas de suplantación de identidad para crear direcciones de correo electrónico falsas que parecen provenir de una fuente legítima. Estas herramientas permiten al atacante cambiar la dirección "De" de un correo electrónico para que parezca ser de un empleado objetivo.
#3. malware
Los estafadores de BEC pueden usar malware para acceder a la red o al correo electrónico de un objetivo. Los atacantes pueden usar registradores de teclas para robar nombres de usuario y contraseñas o herramientas de acceso remoto para tomar el control de la computadora de un objetivo.
#4. Herramientas de seguimiento de correo electrónico
Los atacantes pueden usar herramientas de seguimiento de correo electrónico para monitorear la entrega y leer el estado de sus correos electrónicos fraudulentos. Esto puede ayudar a los atacantes a identificar a las víctimas potenciales que tienen más probabilidades de caer en sus estafas.
La última en nuestra lista de herramientas de ataque o compromiso de correo electrónico comercial es la técnica de ingeniería social. Las estafas de BEC se basan en gran medida en tácticas de ingeniería social, como la suplantación de identidad, la urgencia y la autoridad. Los atacantes pueden usar técnicas de ingeniería social para engañar a los objetivos para que revelen información confidencial o transfieran fondos.
Artículos Relacionados
- Billeteras Bitcoin: tipos, reseñas y todo lo que necesita
- NEGOCIACIÓN INTEGRADORA: Definición, Consejos, y ejemplos
- ¿Qué es una violación de datos? Cómo prevenirlo
- CORREO ELECTRÓNICO PROFESIONAL: significado, cómo escribirlo y consejos cruciales para saberw
Referencias
