El compromiso de correo electrónico comercial (BEC), un subconjunto multimillonario de amenazas de phishing, podría necesitar un nuevo nombre porque las estafas ya no se tratan solo del correo electrónico. El FBI advierte que los estafadores han intensificado las reuniones por video como una herramienta para engañar a las víctimas desprevenidas para que entreguen su dinero.
Las herramientas de reuniones virtuales como Microsoft Teams y Zoom fueron las grandes ganadoras del video durante la pandemia. Y donde van los usuarios, lamentablemente los estafadores los siguen.
BEC generalmente se basa en dominios de correo electrónico falsos, falsificados o comprometidos para transmitir mensajes a los objetivos con el objetivo de engañarlos para que realicen una transferencia bancaria. Las estafas son técnicamente simples, pero a menudo están salpicadas de una historia de fondo cuidadosamente construida y realizada por correo electrónico que engaña incluso a los empleados bien capacitados. Es la categoría principal de ciberdelincuencia medida por los fondos perdidos, que totalizaron $1.800 millones en 2020 según los casos denunciados al FBI. Los enanos de BEC informaron pérdidas de ransomware.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Pero BEC no se trata solo de correo electrónico. El Centro de Delitos en Internet (IC3) del FBI dice que ha visto un aumento en las estafas BEC que utilizan reuniones por video como foro para comunicarse. Esto sucedió entre 2019 y 2021, lo que corresponde al cambio del mundo a las videoconferencias a medida que todos nos adaptábamos a la pandemia de COVID-19 y al trabajo remoto.
El video puede no parecer el medio más obvio para este tipo de estafa porque las reuniones requieren una presencia física y no solo un mensaje de texto en el correo electrónico. Pero aparentemente el video funciona cuando se usa en combinación con el correo electrónico, que los atacantes usan para insertarse en una conversación de video confiable posterior.
“Los delincuentes comenzaron a usar plataformas de reuniones virtuales para realizar más estafas relacionadas con BEC debido al aumento del trabajo remoto debido a la pandemia de COVID-19, que provocó que más lugares de trabajo e individuos realizaran negocios de rutina virtualmente”, dijo el FBI.
La estafa BEC con video todavía involucra el correo electrónico como parte del reconocimiento. El atacante compromete los correos electrónicos de los empleados y «se inserta en las reuniones del lugar de trabajo a través de plataformas de reuniones virtuales para recopilar información sobre las operaciones diarias de una empresa», señala el FBI.
El estafador también puede acceder al correo electrónico de un empleador, como el del director ejecutivo, y enviar correos electrónicos falsificados a los empleados «indicándoles que inicien transferencias de fondos, ya que el director general afirma estar ocupado en una reunión virtual y no puede iniciar una transferencia de fondos». fondos a través de su propia computadora».
Los estafadores también pueden pedirles a los empleados que participen en una plataforma de reunión virtual en la que el delincuente insertará una imagen fija del director ejecutivo sin audio, o con audio «falso», y afirmará que su video/audio no funciona correctamente. “Luego proceden a instruir a los empleados para que inicien transferencias de fondos a través del chat de la plataforma de reunión virtual o en un correo electrónico de seguimiento”, dijo el FBI.
Las estafas de BEC desafían una definición clara porque pueden involucrar a personas externas o internas y, a menudo, requieren que solo un oficial legítimo realice una transferencia autorizada en escenarios falsos inventados por el estafador, como un correo electrónico urgente de un controlador financiero a un subordinado un viernes por la tarde.
El FBI ofrece varios consejos que los empleadores deben tener en cuenta. Es difícil para los empleadores cuando los empleados pueden usar Teams, Zoom, Google Meet, Slack o incluso Discord para tener una videoconferencia.
Los empleadores y los empleados deben, por ejemplo, «confirmar el uso de plataformas de reuniones virtuales externas que normalmente no se utilizan en su entorno de oficina interno», dice el FBI.
El FBI también recomienda implementar la autenticación de dos factores o multifactor (MFA) para verificar las solicitudes de cambios en la información de la cuenta. MFA puede ralentizar los procesos, pero funciona y debe usarse para cuentas de alto valor. Microsoft dice que solo una quinta parte de las organizaciones habilita MFA para cuentas de correo electrónico empresarial en 2021.
El consejo del FBI contiene consejos un tanto obvios sobre la protección de los detalles financieros que pueden olvidarse durante el curso normal de los negocios con socios confiables, incluida la verificación de las URL en los correos electrónicos, la espera de hipervínculos y el intercambio de credenciales de inicio de sesión.
La lista completa de lo que se debe y no se debe hacer del FBI incluye:
- Confirme el uso de plataformas de reuniones virtuales externas que normalmente no se utilizan en su entorno de oficina interno.
- Utilice canales secundarios o autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta.
- Asegúrese de que la URL en los correos electrónicos esté asociada con la empresa/persona de la que dice ser.
- Esté alerta a los hipervínculos que pueden contener errores ortográficos del nombre de dominio real.
- Absténgase de proporcionar credenciales de inicio de sesión o información personal de cualquier tipo por correo electrónico.
- Verifique la dirección de correo electrónico utilizada para enviar correos electrónicos, especialmente cuando se utiliza un dispositivo móvil o de mano, asegurándose de que la dirección del remitente coincida con la de quien proviene.
- Asegúrese de que la configuración en las computadoras de los empleados esté habilitada para permitir que se vean las extensiones de correo electrónico completas.
- Supervise sus cuentas financieras personales de forma regular en busca de irregularidades, como depósitos faltantes.
