Las estafas de BEC siguen siendo una empresa de miles de millones de dólares

Las estafas de compromiso de correo electrónico comercial (BEC) no desaparecerán pronto. Para un tipo de fraude financiero de tan baja tecnología, se ha demostrado que es una empresa lucrativa y de alto rendimiento para los estafadores.

Las estafas BEC, también conocidas como compromiso de cuenta de correo electrónico (EAC), fraude de CEO o caza de ballenas, han existido desde al menos 2013. Entre octubre de 2013 y mayo de 2018, el FBI atribuyó más de $12 mil millones en pérdidas nacionales e internacionales a las estafas de BEC.

Según el último informe del FBI Informe de delitos en Internet (ICR), las pérdidas por estafas de BEC ascendieron a más de $1.2 mil millones en 2018. Esto es el doble de las pérdidas en 2017, que fueron de $676 millones.

 

En 2018, el Centro de Quejas por Delitos en Internet (IC3) del FBI también recibió 20,373 quejas relacionadas con el BEC, lo que representa un aumento de 15,690 quejas en 2017. Las pérdidas agregadas por robo, fraude y explotación habilitados por Internet alcanzaron los $2.7 mil millones en 2018, y las pérdidas por estafas de BEC representaron casi la mitad de esta cifra. El FBI también dijo en un anuncio de servicio público de julio de 2018 que basado en los datos financieros, los bancos ubicados en China y Hong Kong fueron los principales destinos de los fondos fraudulentos, mientras que las instituciones financieras en el Reino Unido, México y Turquía también fueron destinos importantes.

La buena noticia es que el Equipo de Recuperación de Activos (RAT) de IC3, que se formó en febrero de 2018, ha recuperado con éxito más de $192 millones perdidos por estafas de BEC, lo que representa una tasa de recuperación del 75 %. Según los informes, la RAT se ocupó de 1,061 incidentes que causaron pérdidas de más de $257 millones.

Dado este aumento dramático en las pérdidas reales relacionadas con BEC, así como las quejas, queríamos examinar las estafas de BEC más de cerca. ¿El número de correos electrónicos de BEC enviados diariamente está aumentando? ¿Cuántas empresas son objeto de estafas BEC cada mes? ¿Qué países son los más afectados por estas estafas?

Estadísticas BEC de un vistazo

Actividad diaria

Según la telemetría de Symantec, el volumen promedio diario de correos electrónicos de BEC fue significativamente mayor en el primer trimestre de este año que en el mismo período del año pasado. De enero a marzo de 2018, el volumen promedio diario de correos electrónicos de BEC fue de 85,816, mientras que, de enero a marzo de 2019, el volumen promedio diario fue de 128,700, un aumento del 50 por ciento.

Número promedio de empresas objetivo por mes

Descubrimos que un promedio de 6,029 organizaciones fueron blanco de correos electrónicos de BEC por mes durante los últimos 12 meses, desde julio de 2018 hasta junio de 2019. Las estafas de BEC podrían haber afectado potencialmente a esta cantidad de negocios mensualmente si estos ataques no se bloquearan.

Esto indica que los estafadores de BEC han reducido ligeramente sus objetivos, ya que un promedio de 6,089 empresas fueron  atacadas por mes en los 12 meses anteriores.

Número promedio de correos electrónicos recibidos por empresa objetivo

También descubrimos que las empresas recibieron un promedio de cinco correos electrónicos fraudulentos de BEC cada mes durante los últimos 12 meses. Esto significa que cada empresa tenía un 17 por ciento de posibilidades de recibir al menos un correo electrónico BEC por mes. En los 12 meses anteriores, una organización habría recibido un promedio de cuatro correos electrónicos BEC por mes.

10 principales países víctimas

¿En qué países se encuentran estas empresas seleccionadas? Los 10 principales países objetivo de los estafadores de BEC en los últimos 12 meses son liderados por los EE. UU. (39 %), seguidos por el Reino Unido (26%), Australia (11%), Bélgica (3%), Alemania (3%), Canadá (2%), Países Bajos (2%), Hong Kong (2%), Singapur (2%) y Japón (1%).

Los 10 asuntos principales de correo electrónico de BEC por país

Una medida interesante que analizamos fueron las líneas de asunto más populares utilizadas en los correos electrónicos de BEC, en los últimos 12 meses y en qué países víctimas se utilizaron. Las estafas de BEC dirigidas al Reino Unido y los EE. UU. Se etiquetaron principalmente como "importantes", mientras que la mayoría de las estafas de BEC que afectaron a Australia, España, Francia y Alemania tenían temas relacionados con los pagos.

10 palabras clave principales de BEC

También observamos las 10 palabras clave más populares utilizadas en los correos electrónicos de BEC en los últimos 12 meses. “Solicitud de transacción” encabezó la lista con 39,368 instancias observadas, seguido de “Importante” (37,477) y “Urgente” (33,391). Hubo tres interacciones  de "Pago" que redondearon los 10 principales, incluyendo "Pago pendiente" y "Notificación de pago recibido".

Casi todas las palabras clave están destinadas a llamar la atención del destinatario o inducir un sentido de urgencia con temas relacionados con las finanzas.

Los 10 principales dominios emisores de BEC

Se sabe que los estafadores de correo electrónico usan los denominados dominios primos, por ejemplo, "sym@ntec[.]com" en lugar de "symantec.com". Los estafadores de BEC parecen haber sido fáciles en estos dominios primos en los últimos 12 meses, y han vuelto a usar cuentas web gratuitas y anuncios publicitarios web, como gmail.com, yahoo.com, aol.com e inbox.lv. El uso y/o suplantación de dichos dominios legítimos también le otorga legitimidad a la estafa.

Cuatro servicios de correo electrónico populares, incluidos Gmail, AOL, Yahoo! Mail y Hotmail: se encuentran entre los 10 dominios más utilizados,  desde los que se envían correos electrónicos de BEC, con Gmail y AOL llevando la peor parte. Lo más sorprendente aquí es que AOL, que experimentó una fuerte disminución de suscriptores en 2007, aparentemente sigue siendo la mejor opción para los estafadores de BEC.

Asuntos de correo electrónico de BEC

Echemos un vistazo más de cerca a los correos electrónicos de BEC. Hemos observado cambios recientes en la composición de mensajes de BEC, con estafadores que se basan en ideas anteriores, se vuelven más creativos y usan temas más nuevos, como:

• Solicitudes para comprar tarjetas de regalo, tanto físicas como electrónicas
• Solicitudes para actualizar los detalles de salario o de cuentas de depósito directo
• Solicitudes de número de teléfono fijo/celular personal/laboral para proporcionar más instrucciones

Esta observación se alinea con la del FBI, ya que el informe IC3 encontró que, en 2018, hubo un aumento en el número de quejas de BEC que solicitan a las víctimas comprar tarjetas de regalo. Según el informe, las víctimas recibieron un correo electrónico, una llamada o un mensaje de texto falsos de una persona autorizada que solicitaba que la víctima comprara múltiples tarjetas de regalo por razones personales o comerciales.

Específicamente, el equipo de respuesta de seguridad de Symantec observó que los 10 temas más populares que llevan los correos electrónicos de BEC en los últimos 12 meses incluyen:

1. Tarjetas de regalo de Apple iTunes (físicas) para empleados: El estafador solicita a la víctima potencial que compre tarjetas de regalo físicas de Apple iTunes en una tienda. El estafador afirma que estas tarjetas se distribuirán entre los empleados de la misma organización.

1. Tarjetas de regalo electrónicas de Apple iTunes para empleados: El estafador solicita a la víctima potencial que compre tarjetas de regalo electrónicas Apple iTunes para los empleados.
2. Tarjetas de regalo de Amazon: El estafador solicita a la víctima potencial que compre tarjetas de regalo de Amazon.
3. Tarjetas de regalo genéricas para clientes/socios: El estafador solicita a la víctima potencial que compre tarjetas de regalo físicas para distribuir entre los socios.
4. Solicitud de número de teléfono celular personal/laboral para más instrucciones de pago: El estafador le pide a la víctima potencial que proporcione su número celular personal/laboral para que el estafador pueda enviar mensajes de texto con instrucciones de pago.

6. Pago electrónico el mismo día: El estafador le pregunta a la víctima potencial sobre el proceso de pago electrónico el mismo día.

7. Prueba del límite de transferencia internacional: El estafador investiga a la víctima potencial del límite diario de transferencias internacionales.

8. Configurar el pago para el vendedor/proveedor: El estafador le indica a la víctima potencial que establezca un pago para el vendedor/proveedor.

9. Problema salarial (depósito directo/asistencia de cuenta salarial): El estafador le dice a la víctima potencial que ha habido un problema con un depósito directo o una cuenta salarial, y que necesitan actualizar los detalles de su cuenta.

10. Pago urgente necesario durante una reunión/conferencia: El estafador exige un pago urgente mientras no puede recibir llamadas, ya que supuestamente están en una reunión/conferencia.

 

El futuro de BEC

Se dice que las estafas de BEC comenzaron con el pirateo o la falsificación de las cuentas de correo electrónico de los CEO o CFO, con los estafadores que envían correos electrónicos fraudulentos al departamento de finanzas de una empresa y engañan a los empleados para que realicen pagos por transferencia bancaria. Se requiere una combinación de suplantación de correo electrónico, intrusión informática e ingeniería social para llevar a cabo este tipo de estafa.

Estas estafas han evolucionado constantemente, con estafadores cada vez más ingeniosos y cada vez más sofisticados. Sólo este año, hemos visto Facebook y Google siendo estafados por $100 millones; Estafadores chinos robando $18.6 millones del brazo indio de una empresa de ingeniería italiana; y pandillas BEC expandiendo objetivos geográficos e identificando nuevas víctimas, como universidades, el Ejército de Salvación y Boy Scouts of America. Incluso una pequeña iglesia en Ohio no se salvó.

¿Qué les espera a las estafas de BEC? A medida que la inteligencia artificial (AI) y el aprendizaje automático (ML) se desarrollen más, es muy posible que veamos a los estafadores de BEC adoptando estas tecnologías en un futuro próximo para que sus ataques sean aún más convincentes. Tanto ML como AI podrían usarse para potenciar el audiovisual “deepfakes” que se hacen pasar por ejecutivos de nivel C. Ya hemos visto deepfakes que solo usan audio, ya que es más fácil de aprovechar que los elementos de audio y visuales. 

Un estafador BEC que utiliza ML/AI podría apuntar al ejecutivo o empleado financiero sénior de una organización que tiene acceso directo al CEO y que podría autorizar transferencias de dinero. Cuando el empleado intenta verificar la solicitud, el estafador puede usar audio del CEO, como llamadas, videos de YouTube, charlas de TED y otras grabaciones anteriores, para engañar al empleado haciéndole creer que es la voz del CEO en el otro extremo, ordenando la transferencia. El empleado podría ejecutar la solicitud creyendo que era legítima. Si bien esta es una perspectiva aterradora, los futuros escenarios de estafa BEC pueden desarrollarse de esta manera.

 

Mitigación

Symantec recomienda las siguientes mejores prácticas para proteger su organización de las estafas BEC:

• Envíe muestras de BEC para ayudar a mejorar la protección contra estas estafas, ya que compartir información permite a las organizaciones detectar y detener rápidamente estos ataques.
• Cuestione cualquier correo electrónico que solicite acciones que parezcan inusuales o que no sigan los procedimientos normales.
• No responda a ningún correo electrónico que parezca sospechoso. Obtenga la dirección del remitente de la libreta de direcciones corporativa y pregúnteles sobre el mensaje.
• Utilice la autenticación de dos factores (2FA) para iniciar transferencias electrónicas.
• Lleve a cabo una capacitación de concientización del usuario final para aumentar la conciencia general de las estafas BEC entre los empleados.
• Mantenga a los empleados informados sobre las últimas amenazas para que permanezcan atentos a los peligros en sus bandejas de entrada, que sigue siendo el principal medio de comunicación en entornos corporativos.
• Implemente controles BEC que incluyen autenticación automática de remitentes de correo electrónico y controles de suplantación que supervisan el correo electrónico de los empleados susceptibles.
• Aísle las amenazas rápidamente para evitar que infecten máquinas individuales o la red.

• Analice las amenazas potenciales utilizando tecnologías analíticas que pueden detectar las diferencias sutiles entre correos electrónicos limpios e infectados e identificar indicadores de compromiso.
• Utilice firmas digitales que demuestren la autenticidad de un remitente de correo electrónico. Haga que sus ejecutivos, como el CEO, usen certificados digitales para firmar mensajes y asegurarse de que los destinatarios cuestionen los correos electrónicos que parecen provenir de su CEO cuando no están firmados digitalmente.

 

Protección

Los clientes de Symantec ya están protegidos de las estafas BEC con las siguientes soluciones:

• Symantec Email Security.cloud Data Protection proporciona un control granular para identificar mensajes sospechosos en función de diversos indicadores y ayuda a marcar los mensajes que provienen de fuera de la organización.
• Symantec Data Loss Prevention ayuda a combatir el escenario de robo de datos BEC al integrarse perfectamente con nuestras soluciones de seguridad de correo electrónico para detectar correos electrónicos que contienen información confidencial, como información de identificación personal (PII) que no debe abandonar la organización.
• Business Email Scam Analyzer, un componente del servicio Email Security.cloud Anti-Spam, es un método adicional de detección de spam que proporciona una mayor visibilidad de los ataques relacionados con BEC.

 

Un agradecimiento especial a Vijay Thaware por sus aportes en este blog.