Un ataque BEC (Business Email Compromise) tiene como objetivo secuestrar y controlar cuentas empresariales que los ciberdelincuentes pueden utilizar para interceptar o redireccionar las transacciones financieras.
A diferencia de los ataques de phishing tradicionales, los BEC son dirigidos, diseñados para cada víctima. La mayoría de las ocasiones los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para hacer que el ataque sea lo más convincente posible. Este nivel de personalización es lo que ayuda a que este tipo de estafas por correo electrónico superen los filtros de spam y otras protecciones.
Además de conseguir grandes sumas de dinero, muchos grupos de cibercriminales utilizan este método de ataque para obtener información confidencial de las empresas. Lo cual puede acarrear serios problemas a la organización, no solo económicos sino también de reputación.
“Son peligrosos porque utilizan ingeniería social para conseguir su propósito. Son dañinos porque el impacto no sólo es económico, sino que puede tener implicaciones en la situación laboral de los implicados y eso, sin duda, es terrible. Además, tienen un enfoque de poner en duda la capacidad corporativa de proteger la infraestructura propia, de enmascararse el ataque utilizando componentes de la entidad que, por supuesto, ponen en jaque la robustez y solidez de las estrategias de protección y defensa. La pérdida de reputación e imagen pública (no sólo externa sino interna) es notable, perdiendo la credibilidad en los sistemas corporativos”, asegura Ramsés Gallego, Strategist & Evangelist en la oficina del CTO en Symantec.
Para Eutimio Fernández, Director de ciberseguridad en Cisco España, a pesar de la mayor popularidad de los ataques de ransomware, “la amenaza BEC es actualmente el método más lucrativo y rentable para obtener mediante fraude grandes cantidades de dinero de los negocios”, y añade el directivo que se trata de un vector de ataque realmente sencillo que se basa en la ingeniería social para llevar a cabo el robo, que es otra de las razones por las que este tipo de ataques se han vuelto extremadamente peligrosos.
Esto es precisamente lo que destaca José Luis Laguna, Director Técnico Fortinet Iberia, al asegura que realizar estafas a través del correo electrónico corporativo “es bastante sencillo y económico para los atacantes”. Asegura el directivo que al ser un negocio tan rentable anima a todo tipo de ciberdelincuentes a continuar con su actividad maliciosa, y que en en la mayoría de los casos, “los ataques son tan sofisticados que el engaño se descubre cuando ya es demasiado tarde”. Organizaciones de cualquier tamaño son objetivo de un ataque BEC, dice también el CTO de Fortinet Iberia.
Alfonso Ramírez, director general de Kaspersky para España y Portugal, explica sobre los ataques BEC que comienzan con el envío de un correo electrónico de phishing, muy elaborado, que parece llegar del directivo de la empresa y en el que se solicita a un empleado realizar una transferencia o movimiento bancario a una cuenta controlada por los ciberdelincuentes. “Las víctimas también pueden ser empresas que creen recibir un correo electrónico de su cliente. De esta forma, tanto los empleados de la compañía en la que la identidad del CEO ha sido suplantada como la compañía cliente que realiza la transacción, son víctimas de este nuevo fraude”.
Normalmente, los ataques BEC “están relacionados con objetivos económicos (el caso más habitual es solicitar a alguien del departamento financiero una transferencia de dinero muy urgente) y su impacto es muy alto, pues puede suponer no sólo un coste económico alto para la compañía, sino que también afectar a su reputación”, añade José de la Cruz, director técnico de Trend Micro.
Siendo tan peligrosos, ¿por qué no reciben tanta atención como otros tipos de ataques? Para José de la Cruz, hay que destacar que suelen tratarse de ataques dirigidos; “esto supone que el número de ataques sea inferior a cualquier ataque masivo (como el ransomware). Asimismo, las empresas afectadas no suelen hacer público el ataque y sus detalles”.
Para poder llevar a cabo este tipo de ataques los ciberdelincuentes utilizan software malicioso para robar credenciales de correo electrónico, analizan el contenido de los correos electrónicos comprometidos y luego usan la información recopilada para, a través de técnicas de ingeniería social, sustraer el dinero de las víctimas.
Una vez que un ciberdelincuente ha accedido al correo electrónico de un ejecutivo, una estafa BEC usualmente toma una de las cinco formas básicas:
- Fraude del CEO. Los ciberdelincuentes envían un email que parece proceder del máximo responsable de la empresa a un empleado que tenga capacidad para realizar transferencias, dándole instrucciones para que envíe fondos a una cuenta que, evidentemente, está bajo el control de los ciberdelincuentes. Es habitual que este tipo de ataques incluyan una nota en la que se advierte que la transferencia es urgente, lo que evita que el empleado tenga tiempo de verificar la orden.
- Estafa de factura falsa. El ciberdelincuente bucea en la cuenta de correo de un ejecutivo hasta dar con una factura que venza pronto para después contactar con el departamento financiero y pedirles que cambien la cuenta de pago por una diferente.
- Suplantación del Abogado. El ciberdelincuente se hace pasar por el bufete de abogados de una empresa y solicita una transferencia de fondos para resolver un litigio o pagar una factura vencida. Es habitual que el cibercriminal utilice este tipo de ataque para convencer a los destinatarios de que la transferencia es confidencial y sensible al tiempo, por lo que es menos probable que el empleado intente confirmar que debe hacer el envío de dinero.
- Compromiso de cuenta. Similar a la estafa de la factura falsa, en este tipo de ataque el cibercriminal envía correos a los clientes en los que se les avisa de que hubo un problema con sus pagos y necesitan reenviarlos a una cuenta diferente. Este tipo de ataques son más habituales en empresas pequeñas.
- Robo de datos. La única versión de la estafa de BEC cuyo objetivo no es una transferencia de fondos directa, son los ataques que buscan el robo de datos mediante el compromiso de la cuenta de correo electrónico de un ejecutivo para solicitar que se le envíe información confidencial. A menudo estos ataques se utilizan como el punto de partida para un ciberataque más grande y dañino.
Cómo evitar ser víctima de un ataque BEC
Información y concientización son unos de los elementos clave para evitar un ataque BEC, algo que en realidad sirve para casi todas las ciberamenazas que llegan a través del correo electrónico.
El director técnico de Fortinet habla además de pasarelas de correo electrónico, sistemas de prevención de intrusiones y productos antivirus como elementos que ayudan a evitar que el malware comprometa nuestro correo electrónico, así como la implementación de sistemas de autenticación fuerte para el acceso al correo electrónico.
Precisamente por eso José de la Cruz establece el correo electrónico como el elemento “donde deberemos dedicar la mayoría de nuestros esfuerzos”. Entre las recomendaciones que propone el director técnico de Trend Micro destaca la implementación de mecanismos de verificación de identidad para el correo, así como se sistemas de ciberseguridad que protejan contra el spam o las vulnerabilidades, el refuerzo de las políticas de seguridad para las contraseñas y, porque “en cualquier ataque, hay que tener en cuenta el factor humano, es importante concienciar al usuario final sobre el peligro que supone este tipo de ataques”.
Desde Kaspersky Lab recomiendan implementar una serie de medidas de seguridad capaces de proteger contra ataques BEC, como es la formación de los empleados en materia de seguridad; evitar hacer clic en enlaces o abrir documentos que parezcan sospechosos y comprobar el origen de los correos electrónicos; cambiar las contraseñas de todas las cuentas utilizadas en caso de que el sistema haya sido afectado; revisar siempre las solicitudes para cambiar los detalles de la cuenta bancaria o los métodos de pago durante las transacciones; instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible y siempre implementar todas las actualizaciones.
Eutimio Fernández dice que la lucha contra el fraude BEC generalmente requiere mejoras en los procesos de negocio y en la educación de los trabajadores, formando a los empleados para identificar solicitudes fuera de lo común, como una transferencia fuera del país en una empresa que opera a nivel nacional. Las organizaciones pueden también requerir que los empleados verifiquen las transferencias electrónicas con otros empleados -quizá por teléfono- para eludir un posible email falso.
Fuente https://www.itdigitalsecurity.es/reportajes/2018/03/ataques-bec-sabes-lo-que-son