Los ataques de Business Email Compromise (BEC), también conocidos como “el fraude del CEO”, se han extendido enormemente en los últimos años, con un crecimiento proyectado de más de 9.000 millones en 2018, lo que significa un incremento del 69%, en tan solo un año. Este timo consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.
La combinación de simplicidad y efectividad ha permitido que la modalidad de ataque BEC continúe siendo una de las más populares, especialmente para aquellos que carecen de herramientas y conocimientos especiales para llevar a cabo esquemas más complicados de ataque.
Trend Micro ha examinado incidentes relacionados con ataques BEC durante un período de nueve meses (de enero a septiembre de 2017) para ver las tendencias actuales y emergentes de los incidentes BEC, examinar las herramientas y técnicas que utilizan los cibercriminales y analizar los datos con el fin de aportar una panorámica general de cómo es el BEC a día de hoy.
El Internet Crime Complaint Center (IC3) clasifica los ataques BEC en cinco principales categorías, pero Trend Micro, tras el seguimiento intensivo realizado, ha logrado reducirlos a dos técnicas principales:
- Captura de credenciales – Conlleva el uso de keyloggers y kits de phishing para robar credenciales y acceder al correo web de las organizaciones objetivo.
- Sólo correo electrónico – Incluye un correo electrónico enviado a alguien del departamento financiero (generalmente al CFO) de la empresa objetivo. Los atacantes diseñan el email para que parezca que éste ha sido enviado por un directivo de la compañía, por lo general dando instrucciones al objetivo para que realice una transferencia de dinero. En la mayoría de los casos, esa petición de transferencia es para proceder al pago de un proveedor o como un favor personal.
La investigación sobre ataques BEC relacionados con malware también puso en escena a dos jugadores clave: Ardamax, un software de 50 dólares que ofrece a un agente BEC las funciones básicas que necesitaría para operar; y LokiBot, una conocida familia de malware que se usa cada vez más en los ataques BEC.
Por su parte, los ataques BEC sólo de correo electrónico utilizan técnicas de ingeniería social. Si bien la ingeniería social es un rasgo común de la mayoría de los ataques BEC, un ataque solo por email utiliza métodos más sofisticados para explotar la psique humana. En pocas palabras, estos ataques emplean un email diseñado para que parezca lo más creíble posible. Este tipo de ataques BEC normalmente implican el uso inteligente del apartado Asunto, de la parte de «Responder a”, además de dónde viene el correo electrónico.
Los actores de los ataques BEC también crean direcciones de email de apariencia legítima diseñadas para suplantar a los ejecutivos de la compañía, ya sea mediante el uso de proveedores de webmail poco fiables o registrando un dominio de imitación que se asemeje o haga referencia a la empresa objetivo.
