El peligro constante del compromiso del correo electrónico empresarial (BEC) se encuentra una vez más en las noticias. Esta vez, los principales equipos de fútbol de la Premier League inglesa casi fueron víctimas de sus engaños , por una suma de £ 1 millón.

Primera mitad: estafadores a la ofensiva

Alguien comprometió el correo electrónico de un Director Gerente después de iniciar sesión en un portal de phishing a través de un correo electrónico falso. Las cuentas falsas configuradas durante la ventana de transferencia para comprar y vender jugadores proporcionaron la apertura requerida. Se insertaron en las conversaciones con facilidad. Ambos clubes estaban conversando con falsificaciones, ya que los estafadores cambiaron los datos bancarios para el pago. No llegó dinero a los estafadores, ya que el banco reconoció la cuenta bancaria fraudulenta.

Al igual que con tantos ataques BEC, el punto débil era el correo electrónico no seguro sin medidas adicionales implementadas. Algún 2FA habría ayudado enormemente aquí, junto con precauciones adicionales. Hemos hablado de esto anteriormente, donde las organizaciones pueden tener que aceptar cierta desaceleración en sus actividades detrás de escena para la protección adicional que se brinda. ¿El director ejecutivo necesita confirmar los cables por teléfono con alguien en otra zona horaria? ¿Ralentizará un poco las cosas?

Eso es, para algunos, el costo de (los estafadores) hacer negocios. El truco está en tratar de encontrar las soluciones que funcionen mejor para usted, de una manera que no encuentre objeciones tanto de la junta como de las personas que utilizan estos procesos a diario.

El sector deportivo está siendo atacado digitalmente en todos los frentes en este momento. Puede leer sobre algunos de los otros ataques y algunas travesuras más relacionadas con BEC en el informe NCSC .

Segunda mitad: BEC mantiene la presión alta

Las estafas de BEC han ganado mucha visibilidad en las últimas semanas.

Las grandes pérdidas financieras acompañan a la vergüenza de hacer público el compromiso. Es casi seguro que no conocemos el verdadero alcance del daño. El ransomware y las amenazas de chantaje similares causan problemas similares al intentar estimar el impacto.

BEC tampoco es una especie de hora amateur. Los profesionales están haciendo absolutamente todo lo que pueden en este ámbito para mejorar aún más sus ganancias .

Tiempo extra: el largo brazo de la ley

Las organizaciones y las personas a menudo se dan cuenta demasiado tarde de que enviar transferencias significa que el efectivo se ha ido para siempre. El ataque responde sigilosamente y se lleva el dinero sin que nadie se dé cuenta hasta que es demasiado tarde.

Por otro lado, los bustos ocurren. Resulta que ser masivamente visible con unos 2.4 millones de seguidores en Instagram podría no ser la mejor manera de seguir siendo Guy Incognito. Después de que se robó poco menos de 1 millón de dólares de una víctima en los EE. UU., El FBI encontró evidencia de comunicaciones entre una estrella popular de las redes sociales y los presuntos co-conspiradores del fraude. El FBI presentó una denuncia penal en junio que alega que toda la riqueza de la estrella de las redes sociales se obtiene ilegalmente.

Curiosamente, se menciona otro intento en un club de fútbol de la primera división inglesa. Esta vez, sin embargo, el dinero en juego es significativamente mayor: £ 100 millones, frente a £ 1 millón.

Ay.

Penalizaciones: un último ataque de varios frentes

No es solo el BEC estándar de lo que debemos preocuparnos. Hay muchas rutas divergentes hacia su negocio que se originan aproximadamente en la misma posición inicial. El compromiso del correo electrónico del proveedor es algo que está ganando importancia desde que su hermano más conocido salió a la luz, así que agréguelo a la creciente lista de cosas contra las que defenderse. El exitoso ataque a una importante cadena de cines europea por 21 millones de dólares está empezando a parecer una papilla en este punto, aunque definitivamente no para cualquiera que se vea atrapado en las consecuencias.

Algunos estafadores usan malware . Para otros, se trata de quemar un exploit horriblemente caro. La esperanza es que gane varias veces la cantidad pagada inicialmente. ¿El resto acecha en las sombras? Mucho dinero de la publicidad maliciosa o de los juegos en las redes sociales con un toque de propagación viral y muchos clics robados.

Mientras tanto, allí, tenemos un grupo de personas que reconstruyen el funcionamiento interno de su organización a partir de información disponible gratuitamente en línea. En este mismo momento, están considerando enviar una misiva inocente, solo para ver si la dirección de correo está activa y si la persona responsable responde.

No volverá a tener noticias de ellos … pero es casi seguro que verá un correo de algo que dice ser el administrador de su sistema instándole a restablecer sus datos de inicio de sesión.

Dónde terminan tanto usted como las reservas de efectivo de su organización después de eso, depende completamente de la planificación que se haya hecho de antemano.

¿Qué tan preparado estará cuando los atacantes del correo electrónico empresarial llamen?