Desde Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, bloquean al día más de 15.000 ataques BEC, o lo que es lo mismo, alrededor de cuatro millones de mensajes cada año en los que se vulneran correos electrónicos empresariales. Existen diversas tácticas con las que los ciberdelincuentes se aproximan a sus víctimas, pero todas ellas se basan en la suplantación de identidad e ingeniería social para convencer al usuario de que mande dinero a los atacantes.
Uno de los ataques BEC que más beneficios reporta actualmente a los defraudadores tiene que ver con supuestas facturas a proveedores. Estas estafas pueden llegar a ser tan convincentes que hasta personas con cierto renombre o experiencia caen en ellas. Así fue en el caso de la empresaria Barbara Corcoran, conocida también por su participación en el programa de telerrealidad estadounidese Shark Tank. El pasado febrero la inversionista estuvo a punto de perder cerca de 400.000 dólares por unas facturas falsas. Afortunadamente logró recuperar el dinero antes de que los ciberdelincuentes fuesen a cobrarlo, algo que rara vez suele darse en este tipo de ataques.
Las estafas relacionadas con facturación a proveedores siguen unos esquemas un tanto sofisticados y complejos para hacerse con el dinero de las víctimas, ya sea presentando facturas falsas como si fueran legítimas o bien redirigiendo pagos a cuentas bancarias controladas por los ciberdelincuentes. Si se tienen en cuenta las cantidades económicas en juego en este tipo de ataques BEC, no es difícil hacerse una idea de lo costosos que son para las organizaciones y de las cuantiosas recompensas que perciben los atacantes. Proofpoint asegura que ha detenido incidentes que habrían reportado cada uno millones de dólares a los ciberdelincuentes en caso de que se hubiesen completado con éxito.
Al contrario que en otros fraudes BEC en los que se envía un correo electrónico a un empleado de una organización, las estafas relacionadas con proveedores se realizan en distintas etapas contra múltiples individuos y organizaciones. Los investigadores de Proofpoint han observado que muchos de estos ataques se originan desde una cuenta legítima que ha sido comprometida. Estas cuentas son muy valoradas entre los ciberdelincuentes, ya que cualquier email fraudulento que se envíe desde ellas pasará distintos controles de autenticación para correo electrónico (por ejemplo: DKIM, SPF o DMARC). Una vez que se detecta una transacción, el atacante «secuestra» la conversación por email acerca de este movimiento. Al tratarse de un mensaje ya en curso sobre el tema, este tiene mayor credibilidad para la posible víctima. A partir de este momento, el atacante suele cambiar de táctica y suplanta la cuenta del proveedor, la cual inserta en los campos de respuesta o copia en la conversación de correo electrónico. Esto le permitirá mantener la comunicación con la víctima cuando la cuenta comprometida quede reparada, siguiendo el hilo a través de la cuenta suplantada.
No hay cargas de malware, ni archivos o enlaces maliciosos que inciten a la víctimas a hacer clic en ellos, pero en estos mensajes se entremezcla el engaño, la autoridad y la urgencia, junto con las tácticas de compromiso de cuentas y suplantación de identidad, para hacer que una solicitud falsa de cambio de cuenta bancaria parezca veraz y que la víctima pague el dinero de unas facturas directamente a los ciberdelincuentes. Es muy difícil, por no decir casi imposible, que los usuarios sepan identificar estos ataques de «secuestro de hilos» o thread hijacking, de ahí que sea particularmente necesario y útil establecer contramedidas de carácter tecnológico.
Desde Proofpoint se ofrece una solución multicapa a las organizaciones para ayudarlas a protegerse contra las estafas BEC relacionadas con la facturación a proveedores. Dentro de Proofpoint Email Protection se encuentra la solución NexusAI for BEC Detection que analiza diferentes aspectos del correo electrónico, incluida la información del encabezado, el dominio o el cuerpo de texto para determinar si se trata de un mensaje fraudulento. Asimismo, la herramienta Nexus Supplier Risk Explorer se encarga de mapear continuamente la cadena de suministro para revelar aquellas amenazas que pueden estar acechando a una organización. Dicho conocimiento permitirá ver cuáles son los proveedores de mayor riesgo e implementar controles adaptados para mitigar incidentes. Proofpoint presenta además informes sobre incidentes BEC para priorizar esfuerzos y agilizar la respuesta a incidentes con capacidad de encontrar y retirar automáticamente mensajes entregados, incluidos correos reenviados y listas de distribución.
Por último, y no por ello menos importante, la compañía proporciona formación en concienciación sobre ciberseguridad para que los profesionales puedan conformar una sólida línea de defensa en sus organizaciones. Dado que las estafas BEC dependen de la ingeniería social para engañar a los usuarios, es fundamental enseñar a los mismos a detectar estos ataques, así como a denunciar mensajes sospechosos, automatizar la investigación y solucionar incidentes.
