Hoy en día debemos sentirnos totalmente seguros a la hora de realizar ciertas operaciones electrónicas en Internet durante nuestra jornada de trabajo, pero cada vez es más frecuente recibir emails sospechosos que pueden llegar a provocar grandes problemas a nuestra empresa. Este fraude por correo electrónico es conocido como Business Email Compromise.
Business Email Compromise (BEC) significa comprometer el correo electrónico empresarial. Este tipo de estafas son controladas por ciberdelincuentes y suelen estar dirigidas hacia empresas que realizan transferencias electrónicas y mantienen el contacto con proveedores situados en el extranjero.
Una de las características fundamentales que tiene el ataque de los BEC es que estos son específicos, ya que son dirigidos y diseñados para cada víctima. Los ciberdelincuentes estudian profundamente las operaciones comerciales de la empresa e incluso investigan sus redes sociales para que el ataque cibernético sea lo más efectivo posible. No son ataques tradicionales de phising, ya que están personalizados.
Además de afectar a la economía de la empresa, estos ataques provocan una mala reputación en la imagen de la organización que ha sufrido el ataque. También afecta a la situación laboral de los trabajadores que han sido implicados en el desafortunado conflicto.
Normalmente, los atacantes se camuflan como el CEO o se hacen pasar por algún trabajador que tenga autorización para realizar transferencias bancarias. Estos, para despistar a las víctimas, utilizan en los asuntos palabras como transferencia, urgente, solicitud o pago, entre otros.
Tipos de estafas Business Email Compromise
A continuación, te mostramos las estafas más habituales que se dan en este tipo de ataques:
- Fraude del CEO. Como hemos mencionado anteriormente, el atacante puede hacerse pasar por el CEO de la empresa elegida para ser estafada. El ciberdelincuente toma el rol del empleado con autorización para realizar transferencias bancarias y envía un correo electrónico a este tipo de empleados donde les indica que deben transferir dinero a una cuenta determinada. Dicha cuenta está en posesión de los atacantes.
- Control de la cuenta del empleado. Consiste en comprometer la cuenta de un determinado ejecutivo de la compañía. Esta cuenta es suplantada para solicitar pagos de facturas a los proveedores que aparecen en los contactos de correo electrónico de la empresa y estos envían los pagos a cuentas bancarias controladas por los ciberdelincuentes.
- Facturas falsas. Este procedimiento se suele dar en aquellas empresas que tienen proveedores extranjeros. Los atacantes se hacen pasar por los proveedores y estos demandan transferencias de fondos para pagos que son enviados a una cuenta que es propiedad de los estafadores.
- Hacerse pasar por abogados de la empresa. Los atacantes suplantan la identidad de los abogados contratados por la empresa. Estos abogados suelen estar a cargo de importantes operaciones comerciales y asuntos que resultan ser muy confidenciales. Estas peticiones se suelen hacer por teléfono o correo electrónico.
- Apropiación de datos personales de la empresa. Los cibercriminales roban los datos personales de la empresa a través de los empleados de recursos humanos y contabilidad. Pueden también apropiarse de las declaraciones de los impuestos de los trabajadores y ejecutivos. Los cibercriminales usan este tipo de datos para poder realizar ataques próximamente, por lo que cuando llegue ese momento, tienes que estar preparado.
¿Cómo podemos evitar ataques de Business Email Compromise hacia nuestra empresa?
Principalmente, los trabajadores deben de estar capacitados y tener conocimientos sobre estos ataques para que puedan evitar estas estafas. Los atacantes dependen de los trabajadores y se aprovechan de ellos por ciertos despistes o porque no están concentrados del todo.
Hay una serie de acciones que nos pueden ayudar para evitar posibles ataques Business Email Compromise:
- Proteger las operaciones realizadas a través del correo electrónico con servicios como Sender Policy Framework (SPF), lo cual te permite bloquear correos electrónicos sospechosos. También utilizar claves de dominio del correo identificado mediante DKIM. Otra solución acumulativa sería agregar las capacidades de autentificación de mensajes que se basen en dominios, informes y conformidad (DMARC).
- Instalar la autenticación de factor múltiple y, periódicamente, cambiar las contraseñas para impedir posibles ataques de este tipo.
- Para la realización de transferencias electrónicas, debemos de establecer procesos de aprobación de estas operaciones. Será un paso más que evite el riesgo de ser atacados.
- Dotar a los empleados del conocimiento necesario para evitar estos ataques de correo electrónico mediante la educación informática.
Consejos básicos para evitar ataques Business Email Compromise
Para hacer frente a posibles ataques cibernéticos, te damos una serie de consejos:
- Establecer estrategias de seguridad integrales que comprendan las mejores acciones y tecnologías para mantener segura tu red. Así podrás evitar posibles intentos de piratería. Un ejemplo de ello es Cloud computing.
- Desconfía de aquellas solicitudes de pago urgentes que te resulten sospechosas o inusuales. Conciencia a los trabajadores mediante lecciones de informática.
- Ejecutar programas de awareness y someter a todos los trabajadores a entrenamientos sobre amenazas cibernéticas.
Como nuestro partner, nosotros podemos proteger a tus clientes de ataques de Business Email Compromise
Debemos de ser conscientes de que hay que proteger nuestra empresa de posibles ciberataques, como Business Email Compromise, que puedan perjudicar el funcionamiento de la compañía. Es algo que tus clientes deben de saber, porque como partner de Tech2Business puedes ofrecerles la mejor protección y evitarles grandes pérdidas de información o transacciones económicas indebidas.
¿Tienes de dudas de cómo proteger a tus empleados o los de tus clientes con el mejor sistema de protección y al mejor precio? En Tech2Business, empresa experta en tecnologías innovadoras, estamos encantados de ayudarte sin ningún tipo de compromiso: