Una nueva táctica de ataques BEC busca robar las nóminas de los empleados
- Endpoint
Una vez hackeada la cuenta de correo electrónico de un empleado, un estafador puede enviar un email a recursos humanos o al departamento de finanzas haciéndose pasar por el trabajador solicitando que su salario se pague a una nueva cuenta bancaria.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
El FBI calcula que, entre octubre de 2013 y mayo de 2018, las estafas de compromiso del correo electrónico empresarial (BEC) habían generado pérdidas globales por más de 12.000 millones de dólares. Se trata de una técnica de ataques que como vemos puede provocar grandes pérdidas económicas, y que continúa evolucionando. Así, un informe de Agari describe una nueva tendencia en ataque BEC que permite que los delincuentes obtengan las nóminas de los empleados de empresas seleccionadas.
Según los investigadores, un ataque BEC puede comenzar con la cuenta de correo electrónico de un empleado comprometida, tal vez porque sus credenciales fueron robadas, han reutilizado contraseñas o han sido víctimas de malware que roba contraseñas. Con la cuenta de email secuestrada, un estafador envía un correo electrónico a recursos humanos o al departamento de finanzas solicitando que su salario se pague a una nueva cuenta bancaria.
En algunos casos, el departamento de recursos humanos puede solicitar que la solicitud vaya acompañada de documentación que confirme los nuevos detalles de la cuenta bancaria, tal vez impresos con el membrete del banco. En este punto, el estafador puede falsificar una carta con el membrete del banco, lo cual no es difícil de hacer, o utilizar técnicas de ingeniería social para engañar al administrador a que haga el cambio. El cambio es aún más fácil en algunas corporaciones que permiten al personal actualizar sus propios detalles de nómina, accediendo a un sistema de autoservicio, sin tener que solicitar el cambio a un departamento. Dependiendo de la frecuencia con la que el empleado verifica su saldo bancario, pueden pasar semanas o meses antes de darse cuenta de que no ha recibido su salario como esperaba.
Agari recomienda a las organizaciones que revisen su proceso actual para actualizar los sistemas de nómina y evalúen si están haciendo lo suficiente para evitar solicitudes fraudulentas. La autenticación de dos factores puede desempeñar un papel, pero, si no está disponible, recomienda a las empresas asegurarse de establecer un "elemento de contacto humano adicional antes de completar la solicitud", además de verificar que la dirección de correo electrónico proviene de una fuente legítima.