Los documentos judiciales publicados recientemente muestran que la cadena de cine con sede en Europa Pathé perdió una pequeña fortuna debido a una estafa de compromiso de correo electrónico comercial (BEC)  en marzo de 2018. ¿Cuánto cuesta? Un sorprendente US $ 21.5 millones (aproximadamente 19 millones de euros). El ataque, que duró aproximadamente un mes, le costó a la compañía el 10 por ciento de sus ganancias totales.

¿Qué es el compromiso de correo electrónico de negocios?

El compromiso del correo electrónico empresarial es un tipo de ataque de phishing, salpicado de un toque de ingeniería social específica. Un estafador pretende ser el CEO de una organización, luego comienza a bombardear al CFO con solicitudes urgentes de una transferencia de dinero. Las solicitudes son generalmente para transferencias electrónicas (difíciles de rastrear) y, a menudo, se enrutan a través de Hong Kong (muchas transferencias bancarias, incluso más difíciles de rastrear).

Los estafadores a veces compran nombres de dominio para que los correos electrónicos falsos se vean aún más convincentes. Estos ataques se basan en la importancia social del CEO: nadie quiere cuestionar al jefe. Si una organización no tiene garantías contra estos ataques, un estafador probablemente será muy rico. Solo se necesita una estafa exitosa para generar un gran recorrido, en cuyo punto el estafador simplemente desaparece en el éter.

¿Lo que pasó aquí?

Esta estafa BEC en particular es interesante porque resalta un enfoque ligeramente diferente del ataque. Los estafadores abandonaron enfrentando al falso CEO contra el CFO real a favor de falsificar las misivas de la oficina central francesa a la gerencia holandesa.

Todo comienza con el siguiente correo:

“Actualmente estamos llevando a cabo una transacción financiera para la adquisición de una empresa extranjera con sede en Dubai. La transacción debe permanecer estrictamente confidencial. Nadie más debe saberlo para darnos una ventaja sobre nuestros competidores «.

Aunque el CFO y el CEO lo consideraron extraño, siguieron adelante y enviaron más de 800,000 en euros. Siguieron más solicitudes, incluidas algunas mientras el CFO estaba de vacaciones; ambos ejecutivos fueron despedidos después de que la oficina central se dio cuenta. Aunque no estuvieron involucrados en el fraude, Pathé dijo que podían, y deberían, haber notado las «señales de alerta». No lo hicieron, y no había una red de seguridad en su lugar, por lo que el intento de compromiso del correo electrónico comercial fue devastadoramente exitoso.

El juego de la vergüenza

Muchos casos de  fraude de BEC no se denuncian porque nadie quiere admitir voluntariamente que fueron víctimas. Como resultado, lo primero que se suele escuchar es en los procedimientos judiciales. Es difícil adivinar cuánto se pierde realmente con el fraude de BEC, pero el FBI previamente arrojó una cifra de $ 2.1 mil millones de dólares . La cifra real podría fácilmente ser mayor.

¿Cómo pueden las empresas combatir esto?

1. Verifique las cuentas de redes sociales y otros portales en línea de sus ejecutivos, y haga que los que están conectados a finanzas hagan sus perfiles lo más privados y seguros posible. Sin duda, puede reducir el espacio en línea de un CFO, incluso si no puede eliminarlo por completo.
2. La autenticación es la clave. El CFO y el CEO, o quien sea responsable de la autorización de transferencia, debe tener un proceso especial establecido para las aprobaciones. No debería basarse en el correo electrónico, ya que así es como las personas terminan en problemas de estafa de BEC en primer lugar. Si tiene un método de comunicación único y seguro, entonces utilícelo. Si puede bloquear aprobaciones con seguridad adicional como la autenticación de dos factores , hágalo. Algunas organizaciones hacen uso de aplicaciones de autenticador fuera de línea a medida en dispositivos personales. ¡La solución está ahí fuera!
3. Si tiene muchas oficinas y diferentes sucursales mueven el dinero de forma independiente, se aplican las mismas reglas: encuentre un método de autenticación coherente que se pueda usar en múltiples ubicaciones. Esto seguramente habría salvado a Pathé de perder $ 21.5 millones.
4. Cuando no hay otra forma de bloquear las cosas, es hora de abrir el teléfono y confiar en la autenticación verbal. Si bien esto puede causar una pequeña cantidad de problemas empresariales (si está en el otro lado del mundo, ¿está su CFO recibiendo llamadas a las 2:00 am?), Es mejor que perder todo.

Una amenaza que vale la pena abordar.

El compromiso de los correos electrónicos de negocios continúa creciendo en popularidad entre los estafadores, y todos nosotros tenemos que combatirlo. Si su organización no toma en serio a BEC, usted podría fácilmente recibir una llamada telefónica de su gerente de banco. Mantener sus finanzas en el negro es una prioridad, y los BEC son una de las amenazas más insidiosas, ya sea que distribuya películas, servicios de TI o cualquier otra cosa. No dejes que las personas malintencionadas decidan cuándo llamar una envoltura.