Las estafas BEC generaron 676 millones de dólares en pérdidas en 2017

  • Endpoint

También conocidas por el 'timo del CEO', estas estafas están creciendo debido a que las recompensas potenciales que ofrecen son mucho más altas que las que se obtienen con otras amenazas, como los ataques de phishing, a los que se atribuyen 27,9 millones de dólares en pérdidas.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Los ataques Business Email Compromise (BEC), lo que comúnmente se conoce como el “timo del CEO”, se han disparado en los últimos meses. Concretamente, el FBI, en su informe IC3 de 2017, señala que las estafas BEC generaron las mayores pérdidas por encima de cualquier otra categoría de amenaza, con más de 676 millones de dólares solo durante el año pasado. Eso es tres veces más que el segundo peligro, la “estafa de la confianza/romance", y mucho más que los 27,9 millones de dólares atribuidos a los ataques de phishing.

Según Trend Micro, la epidemia del BEC se está extendiendo porque las recompensas potenciales que ofrece son mucho más altas que las que se obtienen con otras amenazas, lo que podría explicar por qué se empieza a ver que las amenazas de ransomware disminuyen. Entre 2016 y 2017, las amenazas relacionadas con el ransomware cayeron de los más de 1.000 millones de dólares a 631 millones. Por el contrario, los intentos de fraudes BEC registrados en 2017 aumentaron un 106% de la primera mitad del año a la segunda. Aunque sólo afectaron a 6.533 entidades en el segundo semestre de 2017, el pago por ataque fue mucho más alto.

Parte del problema con la detección de ataques BEC es que, por lo general, no contienen ningún tipo de malware que detectar y, por lo tanto, pasan desapercibidos al radar de las defensas tradicionales. Con frecuencia, estas amenazas implican una solicitud urgente que es enviada a un miembro del equipo financiero desde un dominio falso para que parezca que se envía desde el email del CEO, en el que se pide que se transfieran fondos lo más pronto posible a una cuenta externa. En ocasiones, el atacante ha comprometido la cuenta de la persona que supuestamente envía el correo electrónico, lo que hace que sea doblemente difícil saber si esto es falso. Otras estafas pueden hacerse pasar por terceros, por ejemplo, proveedores.

Para Trend Micro, mitigar la amenaza del BEC requiere una triple estrategia:

--Educar a los empleados para que examinen los correos electrónicos en los que se solicitan transferencias de dinero.

--Asegurar que los procesos de negocio requieran una aprobación secundaria para cualquier transferencia importante fuera de la organización, especialmente si los datos de pago de los proveedores han cambiado.

-- Valorar la posibilidad de invertir en seguridad avanzada para el email que permita detectar estafas.

TAGS Email, Fraude