Evite el spoofing y el fraude electrónico


¿Conoce los entresijos de su bandeja de entrada? Podrían acechar mensajes peligrosos de estafadores que se hacen pasar por empresas legítimas para persuadirle de que les transfiera fondos. Esta práctica, conocida como «spoofing de correo electrónico», causa estragos tanto en los bolsillos de las empresas embaucadas como en los niveles de estrés del personal implicado. Aprenda a identificar las amenazas de spoofing para proteger sus cuentas corporativas.



Cómo funciona el spoofing: el arte del engaño


Los grupos delictivos organizados que perpetran ataques de Business Email Compromise (BEC) son muy sofisticados. Estas son algunas de las herramientas en línea que emplean para atacar a sus víctimas y aprovecharse de ellas:

  • Suplantación de cuentas de correo electrónico y sitios web: uso de direcciones legítimas con ligeras variaciones (john.kelley@empresaabc.com en lugar de john.kelly@empresaabc.com) para hacer creer a las víctimas que reciben correos de cuentas auténticas. Los delincuentes utilizan herramientas de spoofing para dirigir las respuestas de correo a una cuenta diferente que ellos controlan. De este modo, crean la ilusión de estar manteniendo correspondencia con el consejero delegado (CEO) de la empresa.
  • Spear phishing: envío de correos falsos que provienen de remitentes supuestamente de confianza, cuyo objetivo es incitar a los destinatarios a revelar información confidencial a los perpetradores de ataques de BEC.
  • Software malicioso: programa utilizado para infiltrarse en las redes de las empresas y obtener acceso a conversaciones legítimas sobre facturación y facturas que se mantienen por correo electrónico. Los malhechores aprovechan esta información para solicitar transferencias bancarias fraudulentas sin levantar sospechas entre los contables o directores financieros.  El software malicioso, además, permite a los delincuentes acceder a los datos de las víctimas sin que estas se percaten, incluidas contraseñas e información de las cuentas financieras.

Los ataques de fraude electrónico del CEO son simples pero efectivos, puesto que no precisan de software ni código maliciosos, y tampoco de enlaces fraudulentos. Tan solo son correos de texto, pero, tras su sencilla apariencia, se esconden las disimuladas argucias de la ingeniería social.

Es precisamente su simplicidad lo que convierte a estos ataques de spoofing en uno de los tipos de fraude informático con mayor auge. Según el último comunicado del FBI, en los últimos 15 meses el número de ataques de BEC perpetrados —muchos de los cuales constituyen ataques de fraude electrónico del CEO— ha aumentado un 270 %.

Captura de un fraude del CEO típico - Imagen: Phishme


No caiga en la trampa


Los ataques de BEC han provocado pérdidas de miles de millones de dólares a empresas y organizaciones. No obstante, por muy sofisticadas que sean sus artimañas, tienen un punto débil: las conversaciones cara a cara o voz a voz.

«La mejor forma de evitar las estafas es comprobar la autenticidad de las solicitudes de transferencia de fondos personándose en la oficina del CEO o hablando directamente con él o con ella por teléfono», afirma el agente especial Martin Licciardo. «No se quede solo en el correo electrónico».

A continuación, se exponen otras medidas que adoptan las empresas para protegerse de los ataques de BEC:

  • Crear reglas en el sistema de detección de intrusos que marquen los correos electrónicos que provengan de direcciones similares a otras corporativas. Por ejemplo, los correos procedentes de abc-empresa.com se marcarían como fraudulentos al contrastarse con la dirección legítima abc_empresa.com.
  • Crear una regla de correo electrónico que marque los correos cuya dirección de respuesta sea diferente a la dirección «De» que se muestra.
  • Asignar códigos de colores virtuales para distinguir los correos que provienen de cuentas internas (es decir, de los empleados) de los que proceden de cuentas externas.
  • Implantar un proceso adicional de autenticación de dos factores para verificar los cambios que se producen en las ubicaciones desde las que se efectúan los pagos, así como requerir doble autorización por parte del personal de la empresa.
  • Llamar por teléfono para confirmar la autenticidad de las solicitudes de transferencias de fondos (como parte de la autenticación de dos factores); conviene llamar a números ya conocidos, no a los que figuran en la solicitud del correo.
  • Analizar detenidamente todas las solicitudes de transferencia de fondos que se reciben por correo electrónico para detectar si hay algo fuera de lo común.

Fuentes: www.fbi.gov; blog.cloudmark.com