Según un reciente estudio realizado por ISACA, los tres principales tipos de ataque que sufrieron las empresas durante 2018 son el phishing, malware y ataques de ingeniería social.

El BEC o Business Email Compromise en inglés, es decir, compromiso del email corporativo, es un tipo de ataque basado en phishing que en la mayoría de los casos implica también ingeniería social y en algunos casos también malware. Principalmente consiste en que un ciberdelincuente se hace pasar por un ejecutivo e intenta hacer que un empleado, cliente o vendedor transfiera fondos o información confidencial al atacante. Habitualmente también es conocido como el “Fraude del CEO”, y aunque éste sea el escenario más habitual, hay distintas modalidades.

En general, el BEC termina con un fraude o estafa en el que el objetivo principal suele consistir en lograr realizar transferencias no autorizadas de fondos a favor de los atacantes, es decir, el fin es puramente económico. Las empresas susceptibles de ser potenciales víctimas son aquellas que utilizan las transferencias bancarias como su método común de pago y cobro.

Según el Internet Crime Complaint Center del FBI, también conocido como IC3, la estafa BEC continúa creciendo y evolucionando, afectando tanto a pequeñas, como medianas y grandes empresas a nivel mundial. Entre diciembre de 2016 y mayo de 2018, hubo un aumento del 136% en las pérdidas globales identificadas. La estafa ha sido reportada en los 50 estados de EEUU y en 150 países y en base a las quejas de las víctimas presentadas ante el IC3 y las fuentes de las entidades financieras, se constata que se han enviado transferencias fraudulentas a 115 países.

Los destinos de las transferencias fraudulentas suelen ser bancos asiáticos, en países como China y Hong Kong como principales, aunque Inglaterra, México y Turquía también están siendo identificados como nuevos países destino para esas transacciones.

Según el FBI hay cinco escenarios principales relacionados por BEC:

• Estafa del proveedor
  • El objetivo es una empresa que trabaja con proveedores extranjeros. En este escenario la empresa víctima tiene una larga relación comercial con un proveedor. El atacante suplanta a éste y solicita transferir fondos para el pago de una factura a una cuenta alternativa distinta a la habitual.  La solicitud puede hacerse por teléfono, fax o correo electrónico y en el caso del correo electrónico se falsificará la dirección del correo e imagen corporativa del proveedor para que sea similar al real.

• Fraude del CEO
  • Algún Directivo de una compañía (CEO, Director Financiero, etc.) recibe o inicia una solicitud de transferencia mediante su correo electrónico corporativo. En este caso habitualmente la cuenta puede haber sido falsificada o hackeada. Esta solicitud se hace un segundo empleado dentro de la empresa que generalmente es responsable para procesar estas solicitudes. En algunos casos, aunque mucho menos habituales, la solicitud de la transferencia bancaria se envía directamente a la institución financiera con instrucciones para enviar fondos urgentemente un cierto banco dando una razón aparentemente legítima.

• Suplantación de comunicaciones comerciales
  • Un empleado de una cierta empresa, habitualmente del departamento de ventas o facturación ve comprometida su cuenta de correo personal.  A partir de la lista de clientes de la empresa y lista de contactos del empleado se enviarían solicitudes de pago de facturas a clientes pero dirigidas a nuevas cuentas bancarias controladas por los estafadores. En este caso es posible que la empresa no se dé cuenta de las actividades fraudulentas hasta que algún cliente se pusiera en contacto con esa empresa para hacer un seguimiento del estado de un pago de factura.

• Suplantación de abogados
  • En este escenario el modo de actuación es que los estafadores generalmente se identifican como abogados o representantes de bufetes de abogados e indican estar involucrados en un caso muy sensible representando a la compañía. Este contacto puede hacerse por teléfono o correo electrónico y el atacante suele presionar a las víctimas para que actúen rápida o secretamente para llevar a cabo una transferencia rápida de fondos en concepto de provisión o adelanto de los gastos de representación. Este tipo de estafa BEC puede ocurrir al final del día hábil o la semana y se sincronizará con el cierre semanal de las instituciones financieras internacionales.

• Robo de datos
  • Las solicitudes fraudulentas se envían utilizando el correo electrónico comprometido de un Directivo. Los destinatarios habituales suelen ser personal del departamento de recursos humanos, de contabilidad o de auditoría interna con el fin de obtener listados con información de datos personales de empleados y directivos, salarios, roles o funciones o información financiera, de impuestos o contable. Habitualmente son un paso previo a otro tipo ataque BEC y se utiliza para obtener información corporativa para que el ataque con objetivo económico tenga más probabilidades de ser exitoso. Éste es el tipo de ataque suele ser el más difícil de suele detectar.

El funcionamiento de una estafa BEC inicia con la investigación de la empresa objetivo. Un atacante examinará la información disponible públicamente sobre su empresa desde su sitio web, comunicados de prensa e incluso publicaciones en redes sociales. Igualmente se obtendrá información de los nombres y títulos oficiales de los directivos de la compañía, su jerarquía corporativa e incluso planes de viaje o agenda a partir de respuestas automáticas por correo electrónico o mediante ingeniería social usando llamadas a la secretaría o recepción haciéndose pasar por un contacto lícito.

El atacante intentará obtener acceso a la cuenta de correo electrónico de ese directivo o empleado mediante ataques por fuerza bruta, ingeniería social, etc. Si lo consigue, para no ser detectado, lo habitual es definir ciertas las reglas de la bandeja de entrada para redirigir los correos o cambiar la dirección de respuesta en los envíos para que cuando se ejecute la estafa, el ejecutivo no sea alertado.

EL método más habitual es el email spoofing o lo que viene a ser lo mismo crear un correo electrónico con un dominio falso, pero que parezca una dirección de correo electrónico legítima y así se engaña a la víctima para que piense que proviene de alguien que no lo hizo.

Por ejemplo, el atacante podría usar nombre.apellido@empresa_ejemplo.com en lugar de nombre.apellido@empresaejemplo.com, o nombre.apellido@empresaejemplo.org en lugar de nombre.apellido@empresaejemplo.com.  Si no presta mucha atención, es fácil dejarse engañar por estas pequeñas diferencias.

Después de obtener cierta información corporativa durante algún tiempo, el atacante probablemente tendrá una buena idea de los escenarios de estafa que podrían funcionar y podrá elaborar un escenario convincente que requiera la transferencia inmediata de fondos y ejecutar un ataque.

En un próximo artículo continuaremos tratando del BEC y veremos los mecanismos y consejos para protegernos de este tipo de ataques e incluso con ayuda de empresas especializadas, tal y como hacemos desde la División de Seguridad de Auren, para simular este tipo de ataques en las compañías y así concienciar y formar tanto a usuarios como a los equipos de respuesta y técnicos y responsables de seguridad de la entidad. 

José Miguel Cardona Pastor, Socio de División de Seguridad de la Información – Auren Consultores

Josemiguel.cardona@mad.auren.es