Compromiso de correo electrónico empresarial ¿está su organización lista para lidiar con eso?
Parecen inocentes. Parecen correos electrónicos que se originan de un ejecutivo a un CEO o de un CEO a un financiero. En resumen, los correos electrónicos son más de naturaleza empresarial. Si su CEO le envía un correo electrónico solicitando los detalles de sus impuestos, ¿qué tan probable es que usted le proporcione todos los detalles? ¿Piensa por qué el CEO estaría interesado en sus detalles de impuestos? Veamos como Compromiso de correo electrónico de negocios sucede, cómo se lleva a la gente a pasear y algunos puntos más adelante sobre cómo lidiar con la amenaza.
Compromiso de correo electrónico de negocios
Las estafas de Compromiso de Correo Electrónico Empresarial usualmente explotan vulnerabilidades en diferentes clientes de correo electrónico y hacen que el correo electrónico parezca que proviene de un remitente confiable de su organización o socio de negocios..
Pérdida estimada durante los últimos tres años debido a un compromiso de correo electrónico comercial
Entre 2013 y 2015, las empresas en 79 países fueron engañadas: Estados Unidos, Canadá y Australia están en la cima. Los datos de 2015 a 2016 aún no están disponibles pero podrían haber aumentado, en mi opinión, porque los ciberdelincuentes están más activos que nunca. Con cosas como la falsificación de correos electrónicos y el ransomware IoT, pueden ganar todo el dinero que quieran. No cubriré ransomware en este artículo; simplemente se apegará a BEC (Compromiso de correo electrónico de negocios).
En caso de que desee saber cuánto dinero fue estafado de los 79 países durante 2013 a 2015, la cifra es ...
$ 3,08,62,50,090
... de 22 mil casas comerciales en los 79 países! La mayoría de estos países pertenecen al mundo desarrollado..
Como funciona?
Hablamos antes de la falsificación de correos electrónicos. Es el método de amañar la dirección del remitente. Al utilizar vulnerabilidades en diferentes clientes de correo electrónico, los ciberdelincuentes harán que parezca que el correo electrónico proviene de un remitente de confianza: alguien en su oficina o alguien de sus clientes.
Además de utilizar la suplantación de correos electrónicos, los ciberdelincuentes a veces realmente comprometen las ID de correo electrónico de diferentes personas en su oficina y las usan para enviarle correos que parecen provenir de una autoridad y que requieren atención prioritaria.
La ingeniería social también ayuda a obtener las ID de correo electrónico y, luego, los detalles de la empresa y el dinero de la empresa. Por ejemplo, si es un cajero, puede recibir un correo electrónico del proveedor o una llamada solicitándole que cambie el método de pago y acredite los montos futuros en una nueva cuenta bancaria (que pertenece a los ciberdelincuentes). Dado que el correo electrónico parece provenir del proveedor, lo creerá en lugar de realizar una comprobación cruzada. Tales actos son llamados aparejo de facturas o estafas de facturas falsas.
Del mismo modo, puede recibir un correo electrónico de su jefe pidiéndole que le envíe sus datos bancarios o información de la tarjeta. Los delincuentes pueden citar cualquier motivo, por ejemplo, para depositar algo de dinero en efectivo en su cuenta o tarjeta. Ya que el correo electrónico proviene de o parece que viene de un jefe, no lo pensará mucho y responderá a él tan pronto como sea posible..Se han detectado algunos otros casos en los que el CEO de una empresa le envía un correo electrónico preguntándole los detalles de sus colegas. La idea es utilizar la autoridad de otros para estafarle a usted y a su empresa. ¿Qué hará si recibe un correo electrónico de su CEO que dice que necesita que algunos fondos se transfieran a una cuenta determinada? ¿No seguirías los protocolos relacionados? Entonces, ¿por qué el CEO los evitó? Como dije antes, los cibercriminales usan la autoridad de alguien en su negocio para presionarlo a que renuncie a información y dinero cruciales..
Compromiso de correo electrónico empresarial: cómo prevenir?
Debe haber un sistema que pueda buscar ciertas palabras o frases y, según los resultados, puede clasificar y eliminar correos electrónicos falsos. Hay algunos sistemas que utilizan el método para desviar spam y basura.
En el caso de estafas de compromiso comercial o fraudes de CEO, se vuelve difícil escanear e identificar correos electrónicos falsos porque:
- Son personalizados y se ven originales.
- Se originan a partir de una ID de correo electrónico de confianza
El mejor método para evitar el compromiso de los correos electrónicos comerciales es educar a los empleados y pedirles que se aseguren de que se envíen los protocolos relacionados. Si un cajero ve un correo electrónico de su jefe pidiéndole que transfiera algunos fondos a una determinada cuenta, debe llamar al jefe para ver si realmente quiere que se transfieran fondos a la cuenta bancaria aparentemente extranjera. Hacer una llamada de confirmación o escribir un correo electrónico adicional ayuda a los empleados a saber si ciertas cosas deben hacerse o si se trata de un correo electrónico falso.
Dado que cada empresa tiene su propio conjunto de reglas, las personas involucradas deben verificar si se está siguiendo el protocolo correspondiente. Por ejemplo, podría ser necesario que el CEO tenga que enviar un correo electrónico al departamento de finanzas y al cajero si necesita dinero. Si ve que el CEO se contactó directamente con el cajero y no envió ningún comprobante ni carta al departamento de contabilidad, es muy probable que sea un correo electrónico falso. O si no hay una declaración de por qué el CEO está transfiriendo dinero a alguna cuenta, hay algo mal. Una declaración ayuda al departamento de contabilidad a equilibrar los libros. Sin tal declaración, no pueden crear una entrada adecuada en el libro mayor de la oficina.
Otras cosas que podría hacer son: Evite las cuentas gratuitas de correo electrónico basadas en la web y tenga cuidado con lo que se publica en las redes sociales y en los sitios web de la empresa. Cree reglas del sistema de detección de intrusiones que marquen correos electrónicos con extensiones que sean similares al correo electrónico de la empresa..
Por lo tanto, el método básico y más efectivo para prevenir el compromiso del correo electrónico empresarial es mantenerse alerta. Esto se traduce en educar al personal sobre posibles problemas y cómo realizar una verificación cruzada, etc. También es una buena práctica no discutir detalles de negocios con extraños que no tienen nada que ver con el negocio.
Si usted es víctima de este tipo de correo electrónico, puede que desee presentar una queja ante IC3.gov.