Los estafadores intentan robar 8,7 millones diarios con ataques BEC

  • Endpoint

El número de ataques de compromiso del email corporativo ha aumentado de menos de 500 por mes en 2016 a más de 1.100 mensuales en 2018. Los tres principales sectores objetivo de los ataques son fabricación y construcción, servicios comerciales e inmobiliarias.

Financial Crimes Enforcement Network (FinCEN), que forma parte del Departamento del Tesoro de Estados Unidos, ha emitido una alerta a las instituciones financieras de que los estafadores intentan robar mucho más dinero a través de ataques de compromiso del email corporativo (BEC) de lo que se creía anteriormente.

Hace solo un año, el FBI advirtió que las estafas BEC, que engañan a las empresas para que transfieran fondos a una cuenta bancaria bajo el control de un criminal, habían intentado robar 12.500 millones de dólares entre octubre de 2013 y mayo de 2018. FinCEN señala que en menos de dos años han documentado 32.000 casos de intento de robo a través estos ataques, totalizando la cantidad de 9.000 millones de dólares desde septiembre de 2016, lo que equivale al intento de robo de casi 8,7 millones diarios.

Según FinCEN, el número de ataques de compromiso del email corporativo ha aumentado de menos de 500 por mes en 2016 a más de 1.100 mensuales en 2018. Los tres principales sectores objetivo de los ataques son fabricación y construcción (25%); servicios comerciales, como centros comerciales, instalaciones de entretenimiento y alojamiento (18%); e inmobiliarias (16%).

El informe continúa advirtiendo que los estafadores usan una variedad de técnicas para engañar a las empresas, entidades gubernamentales y organizaciones sin fines de lucro, como iglesias, para que transfieran dinero a cuentas bajo el control de ciberdelincuentes. Por ejemplo, los altos ejecutivos son frecuentemente suplantados en correos electrónicos fraudulentos (tal vez usando cuentas pirateadas o dominios falsificados), intentando engañar a personal junior para que transfiera fondos o proporcione acceso a datos personales sensibles, como información de nóminas e impuestos.

En otros ataques, el estafador puede hacerse pasar por un proveedor y explotar información sobre, por ejemplo, un proyecto de construcción o renovación como un trampolín para enviar una factura fraudulenta que solicita el pago a una cuenta bancaria bajo el control de un estafador o de una mula trabajando en su nombre.