El compromiso del correo electrónico empresarial (BEC), un subconjunto multimillonario de amenazas de phishing, podría necesitar un nuevo nombre porque las estafas ya no se refieren solo al correo electrónico. El FBI advierte que los estafadores han intensificado las videoconferencias como herramienta para engañar a víctimas desprevenidas para que entreguen su dinero.
Las herramientas de reuniones virtuales como Microsoft Teams y Zoom fueron las grandes ganadoras del vídeo durante la pandemia. Y donde van los usuarios, lamentablemente los siguen los estafadores.
BEC generalmente depende de dominios de correo electrónico falsos, falsificados o comprometidos para transmitir mensajes a los destinatarios con el objetivo de engañarlos para que realicen una transferencia bancaria. Las estafas son técnicamente simples, pero a menudo están salpicadas de una historia de fondo cuidadosamente construida y realizada a través de correo electrónico que engaña incluso a los empleados bien capacitados. Es la categoría principal de delitos cibernéticos medidos por los fondos perdidos, que ascendieron a 1.800 millones de dólares en 2020 según los casos denunciados al FBI. Los enanos de BEC informaron pérdidas de ransomware.
VER: Ciberseguridad: seamos tácticos (Informe especial de )
Pero BEC no se trata sólo de correo electrónico. El Centro de Delitos en Internet (IC3) del FBI dice que ha visto un aumento en las estafas BEC que utilizan videoconferencias como foro para comunicarse. Esto sucedió entre 2019 y 2021, lo que corresponde al cambio mundial hacia las videoconferencias a medida que todos nos adaptamos a la pandemia de COVID-19 y al trabajo remoto.
Puede que el vídeo no parezca el medio más obvio para este tipo de estafa porque las reuniones requieren una presencia física y no solo un mensaje de texto en un correo electrónico. Pero aparentemente el video funciona cuando se usa en combinación con el correo electrónico, que los atacantes utilizan para insertarse en una conversación de video confiable posterior.
“Los delincuentes comenzaron a utilizar plataformas de reuniones virtuales para realizar más estafas relacionadas con BEC debido al aumento del trabajo remoto debido a la pandemia de COVID-19, que provocó que más lugares de trabajo e individuos realizaran negocios rutinarios de forma virtual”, dijo el FBI.
La estafa BEC con vídeo todavía implica el correo electrónico como parte del reconocimiento. El atacante compromete los correos electrónicos de los empleados y “se inserta en reuniones en el lugar de trabajo a través de plataformas de reuniones virtuales para recopilar información sobre las operaciones diarias de una empresa”, señala el FBI.
El estafador también puede irrumpir en el correo electrónico de un empleador, como el del director ejecutivo, y enviar correos electrónicos falsos a los empleados “indicándoles que inicien transferencias de fondos, ya que el director ejecutivo afirma estar ocupado en una reunión virtual y no puede iniciar una transferencia de fondos”. fondos a través de su propia computadora.”
Los estafadores también pueden pedir a los empleados que participen en una plataforma de reunión virtual donde el delincuente insertará una imagen fija del director ejecutivo sin audio, o con audio “falso”, y afirmará que su video/audio no funciona correctamente. “Luego proceden a instruir a los empleados para que inicien transferencias de fondos a través del chat de la plataforma de reunión virtual o en un correo electrónico de seguimiento”, dijo el FBI.
Las estafas BEC desafían una definición clara porque pueden involucrar a personas externas o internas y a menudo requieren que solo un funcionario legítimo realice una transferencia autorizada en escenarios falsos inventados por el estafador, como un correo electrónico urgente de un interventor financiero a un subordinado un viernes por la tarde.
El FBI ofrece varios consejos que los empleadores deberían tener en cuenta. Es difícil para los empleadores cuando los empleados pueden usar Teams, Zoom, Google Meet, Slack o incluso Discord para tener una videoconferencia.
Los empleadores y empleados deberían, por ejemplo, “confirmar el uso de plataformas de reuniones virtuales externas que normalmente no se utilizan en el entorno de su oficina interna”, dice el FBI.
El FBI también recomienda implementar autenticación de dos o múltiples factores (MFA) para verificar las solicitudes de cambios en la información de la cuenta. MFA puede ralentizar los procesos, pero funciona y debe usarse para cuentas de alto valor. Microsoft dice que solo una quinta parte de las organizaciones habilitará MFA para cuentas de correo electrónico empresariales en 2021.
El consejo del FBI contiene consejos algo obvios sobre la protección de los detalles financieros que pueden olvidarse durante el curso normal de los negocios con socios confiables, incluida la verificación de las URL en los correos electrónicos, la espera de hipervínculos y el intercambio de credenciales de inicio de sesión.
La lista completa de lo que el FBI debe y no debe hacer incluye:
Confirme el uso de plataformas de reuniones virtuales externas que normalmente no se utilizan en el entorno de su oficina interna. Utilice canales secundarios o autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta. Asegúrese de que la URL en los correos electrónicos esté asociada con la empresa/individuo que dice ser de.Esté alerta a los hipervínculos que puedan contener errores ortográficos del nombre de dominio real.Abstenerse de proporcionar credenciales de inicio de sesión o información personal de cualquier tipo por correo electrónico. Verifique la dirección de correo electrónico utilizada para enviar correos electrónicos, especialmente cuando utilice un dispositivo móvil o portátil, asegurándose de que la dirección del remitente parezca coincidir de quién proviene. Asegúrese de que la configuración en las computadoras de los empleados esté habilitada para permitir que se vean las extensiones de correo electrónico completas. Supervise sus cuentas financieras personales con regularidad para detectar irregularidades, como depósitos faltantes.