El cibercrimen siempre está innovando. La industria del cibercrimen es una rama más del crimen organizado y, acorde a los tiempos, se vale de recursos y vías tecnológicas para potenciar sus delitos. Así es cómo se ha vuelto frecuente la suplantación para hurtar bienes materiales a víctimas empresariales productivas o comercializadoras, o para que transfieran dinero mediante el engaño.
Modus operandi
A diferencia del tradicional phishing, que opera enviando un e-mail conteniendo un enlace engañoso hacia un sitio falso que simula ser el legítimo con objeto de obtener las credenciales de los usuarios para un acceso virtual, otro mecanismo para la defraudación en línea es el llamado BEC: "Business E-mail Compromise" (Compromiso de E-Mail de Negocio), técnica en el que el atacante envía un e-mail suplantando a un ejecutivo de alguna empresa que le pudiera resultar confiable al receptor, eventualmente apostando a la confusión de nombres, para conseguir que la víctima caiga en el engaño, y lleve a cabo la solicitud expresada en el mensaje.
Las víctimas en este tipo de fraude suelen ser empresas, más que personas naturales. Por ejemplo, puede ser una empresa proveedora de bienes o productos materiales, habituada a realizar despachos a grandes compradores, operando mediante órdenes de compra con clientes con los que ya mantienen relaciones comerciales. De la misma manera también puede ser alguna empresa o entidad bancaria que administra las cuentas de alguna gran empresa, y a la cual se le solicita que transfiera cifras de dinero a otros destinatarios.
Un atacante malicioso puede inscribir un nombre de dominio "similar" al habitual (al estilo phishing). Desde ahí envía un e-mail a la víctima con una orden de compra falsa, simulando ser un comprador conocido para convencer a la víctima de que realice un despacho de mercadería. Para ello, puede llegar a predisponer físicamente de una bodega o galpón, incluso con carteles o letreros propios del comprador, a fin de convencer a la víctima de que está realizando el despacho al destino "correcto".
Otros tipos de ataques BEC
Entre los esquemas a los que recurren los ciberdelincuentes para engatusar empleados o directivos desprevenidos, valiéndose de tácticas de ingeniería social, se cuentan:
1. Esquema de factura falsa: Suplantando a un proveedor legítimo mediante el envío de un e-mail
2. Fraude del CEO: Falsificación de la cuenta del director general u otro alto directivo, mediante e-mail que ordena la realización de compras o el envío de dinero a terceros.
3. Robo de datos: ataque que apunta generalmente a las áreas de Recursos Humanos y Finanzas, para acceder a datos personales de los miembros de la organización, la que se venderá o podrá ser utilizada para planear futuros ataques.
4. Suplantación de representante legal: Solicitudes emanadas por un abogado o representante legal, ante las cuales no se sabe cómo validar la solicitud.
Cómo prevenir
Como se ha mencionado, en este tipo de estafa la empresa suplantada no es la víctima final del engaño, sino que los proveedores o los clientes de dicha empresa. Para resguardarse de tales fechorías se pueden establecer contramedidas tecnológicas y procedimientos tales como:
1) Revisar el nombre de dominio en la dirección del remitente del correo (la parte después de la arroba "@"), el que debe coincidir exactamente con el original.
2) Incorporar una etapa de respuesta y contrarrespuesta en la comunicación con el solicitante, pues la dirección de e-mail del remitente puede ser adulterada para "aparentar" la original, sin serlo. Al producirse una comunicación bidireccional, la adulteración quedaría expuesta si ya se validó el punto anterior.
3) Guardar en la agenda de contactos la casilla y nombre de los clientes, especialmente los recurrentes, permitiendo así al cliente de e-mail la identificación y distinción visual entre los conocidos y los que, si bien pudieran "parecerse" al original, no lo fueran.
4) Realizar una doble verificación, quizás por otro medio como el telefónico o un e-mail directo a otra casilla institucional, si es que las órdenes de compra resultan sospechosas en términos de los montos, cantidades, tipos de producto, fechas, horarios o domicilios de despacho involucrados.
5) Prestar atención a los detalles visuales de los documentos, realizando verificaciones como la consulta al sitio web real o la agenda de contactos previamente indicada. Las facturas y demás Documentos Tributarios Electrónicos (DTE) debieran contar con una Firma Electrónica Avanzada válida más allá de su simple buena apariencia visual y coincidencia de montos.
6) Especial cuidado debe tenerse con remitentes que recurran a nombres genéricos que se arropan con apariencia de importancia técnica, del estilo "administrador" (y derivados, "adm", "admin"), "root", "system", "mailer", "daemon"; o con similitudes, tales como "gerente" en vez de "gerencia" o "adquisicion" en vez de "adquisiciones".
7) Validar la certificación de origen del e-mail. Los administradores de servidores de correos tienen a su disposición herramientas para validar que los mensajes recibidos vengan desde orígenes oficiales, y que no hayan sido adulterados (SPF, DKIM y DMARC). En caso de problemas, el mensaje debiera ser rechazado, o al menos marcado como sospechoso. No obstante pasar correctamente las validaciones no es garantía, pues todavía puede ocurrir que sea un nombre de dominio sea "parecido", viniendo efectivamente de ahí y no del servidor del interlocutor real.
Resguardos que pueden implementar las empresas para evitar ser suplantadas
Las empresas que podrían ser suplantadas, a fin de ayudar a las empresas con las que hacen negocios para resguardarse ante posibles engaños, pueden propiciar los siguientes cuidados:
1) Explicitar en su sitio web corporativo el número telefónico junto a la dirección de correo oficial de contacto para contra-validación de órdenes de compra o facturas, facilitando la doble verificación.
2) Si el caso lo permite, explicitar las direcciones de despacho legítimas (sucursales y quizás otras), precisando si acaso no solicitan despacho a direcciones fuera del listado.
3) En su servidor de e-mail, activar las opciones de seguridad SPF, DKIM y DMARC.
4) Actualizar regularmente su servidor de e-mail y aplicar una configuración segura ("hardening").
5) Promover una política de contraseñas robustas para las cuentas de sus usuarios: largas y aleatorias, sin reutilización en sistemas múltiples.
Si eres víctima de un fraude
Los afectados por situaciones como la descrita, jugándoles el tiempo en contra, debieran:
- contactar al comprador para que alerte del modus operandi a sus demás proveedores;
- remitir a la brevedad los antecedentes a la policía o fiscalía ante una eventual vulneración de sus derechos;
- denunciar los enlaces en los canales de reporte de actividad maliciosa disponibles en Internet;
- denunciar los nombres de dominio maliciosamente inscritos a través de los medios de reporte de abusos provistos por el Registrar mediante el que se hubieran inscrito, lo que se puede averiguar consultando algún servicio de Whois, como por ejemplo https://www.whois.com/whois;
- si el caso involucrase la utilización de un nombre de dominio .CL, alertar a la casilla abuse@nic.cl adjuntando la mayor cantidad de antecedentes posible: enlaces, comprobantes, capturas de pantalla, adjuntos, e-mails originales completos (extensión .eml), etc.
Comunicando, enseñando y practicando estas prevenciones, podemos contribuir a evitar la afectación de empresas pequeñas, medianas y grandes, en un ambiente global de creciente ciberdelincuencia.
Comentarios
Publicar un comentario