Los crímenes digitales a las empresas aumentaron durante el último año. Los ataques de Business Email Compromise (BEC), un tipo de fraude que apunta al correo corporativo fingiendo provenir de un representante de una empresa de confianza, fue el segundo tipo de ataque más común, informó Verizon. Además, Kaspersky, compañía de ciberseguridad, reveló que durante el cuarto trimestre de 2021, tuvo que evitar más de 8,000 ataques BEC.
A lo largo de 2021, Kaspersky analizó de cerca la forma en que los estafadores elaboran y difunden correos electrónicos falsos. Como resultado, descubrieron que los ataques tienden a clasificarse en dos categorías: en gran escala y altamente dirigidos.
El primero se conoce como «BEC-as-a-Service», y sus ataques simplifican la mecánica detrás del ataque para llegar a la mayor cantidad de víctimas posible. Los atacantes envían mensajes simplificados en masa desde cuentas de correo gratuitas, con la esperanza de atrapar al mayor número de víctimas posible. Dichos mensajes a menudo carecen de altos niveles de complejidad, pero son eficientes.
El otro tipo de ataques es el BEC dirigido. En este, los delincuentes primero atacan un buzón intermediario y obtienen acceso al correo electrónico de esa cuenta. Entonces, cuando encuentran una correspondencia adecuada en el buzón comprometido de la empresa intermediaria, continúan la correspondencia con la empresa objetivo, haciéndose pasar por la empresa intermediaria. A menudo, el objetivo es persuadir a la víctima para que transfiera dinero o instale malware.
Evitar los robos de información
Para evitar ser víctima de ataques BEC, los expertos de Kaspersky recomiendan a las empresas:
-Solicitar a los trabajadores que revisen cuidadosamente cada correo electrónico que solicite pagos o cualquier tipo de datos personales o corporativos. Explicarles que no deben publicar datos corporativos confidenciales en sistemas con acceso abierto. Tampoco deben compartir demasiados detalles sobre su trabajo con un gran número de personas.
-Educar a los trabajadores en contrarrestar la ingeniería social. Una capacitación práctica, así como la realización de talleres, preparan a los empleados para estar atentos e identificar los ataques BEC que logran atravesar otras capas de defensa.
-Utilizar herramientas de seguridad, que mediante tecnología antiphishing, antispam y de detección de malware, permita proteger los canales de comunicación corporativos. Aunque BEC representa uno de los tipos más sofisticados de compromiso para el correo electrónico, estas herramientas permiten procesar indicadores indirectos y detectar, incluso, los correos electrónicos falsos más convincentes.
