Aprende de estos escenarios de ataques BEC

BEC es un enemigo resbaladizo porque puede tomar muchas formas, lo que dificulta detectar un esquema BEC hasta que es demasiado tarde. Pero la capacitación en concientización sobre seguridad puede garantizar que los empleados estén alertas a los tipos básicos generales de estafas BEC. Estos escenarios le muestran cómo se ven los estilos más comunes de ataque BEC en acción y brindan ejemplos de lo que sucedió cuando una organización desafortunada fue víctima de un episodio de esa variedad.

1.Requiere pago urgente o estafas de facturas:

La variedad más común de ataques BEC es la estafa de factura o pago urgente requerido. En este escenario, los malos actores se hacen pasar por representantes de una empresa o agencia gubernamental y le dicen a la víctima que debe pagar una factura de inmediato para evitar una consecuencia negativa, como la interrupción de su servicio telefónico. Por lo general, solicitan una transferencia bancaria a una cuenta bancaria fraudulenta, pero a veces los delincuentes solicitan el pago mediante una tarjeta de regalo o de dinero.

Ejemplo:

• El FBI recibió muchos informes de fraude de facturas BEC relacionado con COVID-19 dirigido a grandes organizaciones de atención médica. Las víctimas recibieron mensajes que afirmaban que se debe pagar una factura falsa de inmediato para que la organización reciba un envío de suministros médicos o vacunas que tanto necesitan. Las víctimas recibieron instrucciones de pagar mediante transferencia bancaria. Por supuesto, ningún suministro llegó nunca a esos desafortunados proveedores de atención médica.

2. Estafas de suplantación de identidad ejecutiva:

Los malhechores pueden  hacerse pasar por un ejecutivo  de la empresa de la víctima o de otra organización para tentar a la víctima a descargar un documento malicioso, enviarles dinero, proporcionarles información confidencial como datos financieros o ayudarlos a acceder a sistemas y datos restringidos.

Ejemplo:

• Pathé, una empresa cinematográfica francesa, sufrió un ataque BEC en el que los ciberdelincuentes se hicieron pasar por el director general de la empresa. Los malos actores se presentaron falsamente ante los ejecutivos de la división holandesa de la empresa utilizando una dirección de correo electrónico similar al dominio legítimo de la empresa, pathe.com. Los estafadores convencieron a los ejecutivos para que transfirieran fondos a una cuenta bancaria “nueva” (fraudulenta) para pagar la supuesta adquisición de una empresa en Dubái, lo que terminó con una pérdida de $21 millones.

3. Estafas de tergiversación:

En un escenario de tergiversación, los malos actores se dirigen a los empleados de ciertos departamentos con la intención de engañarlos para que proporcionen información confidencial o pagos. Pueden hacerse pasar por funcionarios gubernamentales o incluso ejecutivos y colegas dentro de la organización objetivo.

Ejemplo:

• La organización benéfica Save the Children perdió $ 1 millón ante BEC. En esa estafa, el atacante logró obtener acceso a la cuenta de correo electrónico de un empleado y luego la usó para enviar facturas falsas y otros documentos al departamento de contabilidad de la organización benéfica alegando que el dinero era necesario para pagar paneles solares inexistentes para una clínica en Pakistán. . El departamento de contabilidad no sospechó nada porque las facturas provenían de una dirección confiable.

4. Fraude de credenciales o información:

Una estafa BEC de compromiso de credenciales comienza cuando los malos actores le piden a la víctima que proporcione credenciales con el pretexto de que han extraviado las credenciales que ya les habían dado o que no les dieron las correctas para completar una tarea. Ambas variantes conducen al mismo resultado: un mal actor engaña a un empleado para que le dé acceso a sistemas, cuentas y datos que no debería tener.

Ejemplo:

• En febrero de 2021, el célebre empresario Obinwanne Okeke fue sentenciado a 10 años de prisión por su participación en un esquema BEC que resultó en pérdidas de al menos $11 millones para sus víctimas. Usando correos electrónicos de phishing para proteger las credenciales de inicio de sesión de los ejecutivos de negocios (incluido el director financiero de la empresa británica Unatrac Holding), tenía un conducto directo para un ataque BEC.

Detener el BEC antes de que comience

Reduzca la posibilidad de que una estafa BEC cause daños importantes y mitigue otros riesgos de ataques cibernéticos de manera asequible con dos soluciones de seguridad probadas en batalla en las que puede confiar.

Capacitación de concientización sobre seguridad     

CISA recomendó recientemente  que las empresas intensifiquen sus programas de capacitación en concientización sobre seguridad para combatir la actual avalancha de amenazas de ransomware. Es el movimiento correcto: Venture Beat informa que el  84 % de las empresas  en una encuesta reciente dijeron que la capacitación en concientización sobre seguridad ha reducido sus tasas de fallas de phishing, lo que hace que sus empleados sean mejores para detectar y detener el phishing, la puerta de entrada a la mayoría de las amenazas cibernéticas más desagradables de la actualidad. .

Fuente: Agente ID