La vulneración del correo electrónico empresarial (BEC) es una forma de phishing en la que el atacante suplanta a una persona de una red corporativa para engañar al objetivo con el fin de que envíe dinero a la cuenta del atacante. Los estafadores de BEC suelen atacar a las empresas que utilizan transferencias bancarias para pagar a sus clientes internacionales.
En este artículo, cubrimos los aspectos básicos del BEC y le damos algunos consejos sobre cómo proteger su empresa de este desagradable fraude.
¿Qué es la vulneración del correo electrónico empresarial?
El BEC es un ataque en el cual un intruso obtiene ilícitamente acceso a una cuenta de correo electrónico de una empresa y suplanta la identidad del propietario legítimo con el fin de engañar a la empresa y a sus empleados, clientes o socios, a transferir dinero a la cuenta del intruso. Por lo general, el atacante falsifica una dirección de correo electrónico en una red corporativa y se basa en la confianza entre el destinatario y el remitente. Por ello, el BEC se conoce a veces como un ataque «man-in-the-middle».
En la mayoría de los casos, los estafadores se centran en los empleados con acceso a las finanzas de la empresa e intentan engañarlos para que transfieran dinero a una cuenta bancaria controlada por el atacante.
Técnicas de vulneración del correo electrónico empresarial
- Suplantación de cuentas de correo electrónico y sitios web – los atacantes modifican ligeramente las direcciones legítimas para que las víctimas crean que las cuentas falsas son auténticas.
- Spear-phishing:- ataques de phishing dirigidos y muy documentados
- Malware – programas o archivos diseñados para causar daño intencionadamente o para explotar dispositivos, redes o servicios. Los atacantes lo utilizan para delitos como robar datos confidenciales, monitorizar la actividad de los usuarios y deteriorar o suprimir información de un dispositivo.
Tipos de vulneración del correo electrónico empresarial
Normalmente, los mensajes maliciosos utilizados en BEC se ajustan a un patrón. El FBI define los siguientes cinco tipos principales de fraudes BEC:
- El fraude de les facturas falsas – los estafadores suelen utilizar esta estrategia cuando se dirigen a empresas con proveedores extranjeros. Sustituyen a los proveedores y solicitan transferencias de fondos para los pagos.
- Suplantación de abogados – los atacantes se presentan como un abogado u otro representante del bufete de abogados responsable de asuntos delicados. Este tipo de estafa se lleva a cabo a través del correo electrónico o del teléfono, especialmente hacia el final de la jornada laboral. Los objetivos preferidos son los empleados de nivel menor, sin conocimientos ni autoridad para dudar de la legitimidad del mensaje.
- El fraude del CEO – Los ciberdelincuentes suplantan el director general de la empresa u otros ejecutivos y exigen a los empleados, normalmente de los departamentos de recursos humanos o de contabilidad, que envíen una transferencia bancaria, que actualicen los datos de la cuenta o que proporcionen información sobre la misma.
- Cuenta vulnerada – Los atacantes hackean la cuenta de un ejecutivo o de un empleado y lo utilizan para solicitar el pago de facturas a los proveedores de su lista de contactos de correo electrónico. Los fondos se transfieren a cuentas bancarias ilícitas.
- Robo de datos – Se refiere a cada vez que los piratas informáticos roban la información personal de la víctima, como por ejemplo el número de la seguridad social, y la utilizan para crear cuentas, solicitar créditos, obtener servicios médicos, hacer una compra o cometer cualquier otro fraude en su nombre. Los empleados de recursos humanos y de contabilidad son el blanco para obtener datos valiosos que pueden ser utilizados en futuros ataques.
Medidas de seguridad para combatir la vulneración del correo electrónico empresarial
Para evitar ataques, usted puede considerarla posibilidad de aplicar las siguientes prácticas de seguridad en su empresa:
- Las normas de correo electrónico – marcan los correos electrónicos en los que la dirección de «respuesta» difiere de la dirección visible de «origen».
- Código de colores – utilice diferentes colores para las cuentas internas y externas.
- Los sistemas de detección de intrusos – marcan los mensajes de correo electrónico con extensiones que se confunden con el correo electrónico de la empresa. Por ejemplo, si la dirección de correo electrónico real es [email protected], se detectaría el correo electrónico fraudulento [email protected].
- La verificación de los pagos – es muy aconsejable al menos la autenticación de dos factores (MFA).
- Las solicitudes de confirmación – para las transferencias con verificación telefónica como parte de un esquema MFA. Además, las confirmaciones pueden solicitar los números del directorio de la empresa en lugar de los números proporcionados en un correo electrónico.
- La vigilancia – sus empleados deben ser cautelosos con todas las solicitudes de transferencia de fondos por correo electrónico para asegurarse que son legítimas antes de emprender cualquier acción.
- La formación para la concienciación en materia de seguridad – educar a sus empleados en materia de BEC mediante simulaciones continuas de phishing similares a las de la vida real le ayudará a luchar contra los ataques. Esta es la medida más importante y asequible que puede tomar para prevenir todo tipo de estafas, especialmente las basadas en el phishing.
¿Por qué ATTACK Simulator?
Sabemos que hay muchas opciones. Pero no busque más, ya que ATTACK Simulator ofrece una solución de formación de concienciación de seguridad asequible y personalizable para todas las empresas, independientemente de su tamaño.
Vamos a profundizar en ello y a explicar por qué ATTACK Simulator es el camino a seguir:
- Ofrecemos cursos de concienciación en materia de seguridad para empresas de todos los tamaño ; la importancia que damos a la mejora de la vigilancia de los empleados en materia de ciberseguridad es la misma.
- Nuestro método de formación cuenta con una función automatizada, que requiere poca o ninguna intervención manual. Al fin y al cabo, el tiempo es dinero, y no queremos que lo pierda.
- Ofrecemos un rápido soporte interno directamente de nuestros propios desarrolladores. Nos gusta que nuestros clientes estén contentos y satisfechos.
- Proporcionamos formación asequible en materia de concienciación sobre la seguridad.
- La interfaz de nuestro software es fácil de usar, por lo que podrá aprenderla en poco tiempo.
No pierda ni un minuto más contando con la suerte, e invierta ahora en un sólido programa de concienciación sobre ciberseguridad. Obtenga su presupuesto hoy mismo aquí.
Atribución:
