¿Qué son las Estafas de Compromiso Empresarial (BEC) o Fraudes de CEO

Seleccionar con cuidado el objetivo y obtener mayores rendimientos de la inversión, incluso si usted es un ciberdelincuente, es el principal motivo de una transacción. Este fenómeno ha iniciado una nueva tendencia llamada BEC o Estafa de compromiso comercial . Esta estafa cuidadosamente ejecutada involucra al pirata informático que usa Ingeniería Social para determinar el CEO o CFO de la empresa objetivo. Los ciberdelincuentes enviarán correos electrónicos fraudulentos, dirigidos por ese funcionario de la administración superior en particular, a los empleados a cargo de las finanzas. Esto provocará que algunos de ellos inicien transferencias bancarias.

Estafas de compromiso empresarial

En lugar de pasar innumerables horas inútiles Phishing o spamming de las cuentas de la compañía y terminar sin nada, esta técnica parece estar funcionando bien para la comunidad hacker, porque incluso una pequeña rotación resulta en ganancias considerables. Un ataque BEC exitoso es aquel que resulta en una intrusión exitosa en el sistema comercial de la víctima, acceso irrestricto a las credenciales de los empleados y una pérdida financiera sustancial para la empresa.

Técnicas para llevar a cabo estafas BEC

• Uso de tono forzado correo electrónico para alentar una mayor rotación de los empleados que acepten la orden sin investigación. Por ejemplo, `Quiero que transfiera esta cantidad a un cliente lo antes posible`, que incluye la urgencia financiera y de comando.
• Correo falso de direcciones de correo electrónico usando nombres de dominio que están casi cerca de la oferta real. Por ejemplo, usar yah00 en lugar de yahoo es bastante efectivo cuando el empleado no es demasiado insistente para verificar la dirección del remitente.
• Otra técnica importante que utilizan los ciberdelincuentes es la cantidad solicitada de transferencias de cables. La cantidad solicitada en el correo electrónico debe estar sincronizada con la cantidad de autoridad que el destinatario tiene en la empresa. Se espera que cantidades más altas levanten la sospecha y la escalada del problema a la célula cibernética.
• Comprometer correos electrónicos de negocios y luego usar indebidamente los ID.
• Usar firmas personalizadas como `Enviado desde mi iPad` y `Enviado desde mi iPhone` complementan el hecho de que el remitente no tiene acceso requerido para realizar la transacción.

Razones por las que BEC es efectivo

Las estafas de compromiso comercial se llevan a cabo para identificar a los empleados de nivel inferior disfrazados de un empleado senior. Esto juega con la sensación de ` miedo ` derivado de la subordinación natural. Por lo tanto, los empleados de nivel inferior tienden a ser persistentes para completar, en su mayoría sin preocuparse por detalles intrincados a riesgo de perder tiempo. Por lo tanto, si trabajan en una organización, probablemente no sea una buena idea rechazar o retrasar una orden del jefe. Si la orden realmente resulta ser verdadera, la situación sería perjudicial para el empleado.

Otra razón por la que funciona es el elemento de urgencia utilizado por los piratas informáticos. Agregar una línea de tiempo al correo electrónico desviará al empleado hacia la tarea antes de verificar detalles como la autenticidad del remitente.

Estadísticas de fraude comercial

• Los casos de BEC han ido en aumento desde que se descubrieron hace unos años hace. Se ha encontrado que todos los estados en los EE. UU. Y más de 79 países en todo el mundo han tenido corporaciones que han sido exitosamente atacadas con estafas de compromiso comercial. De hecho, en los últimos 4 años, más de 17.500 corporaciones, específicamente empleados, tienen ha estado sujeto a los objetivos de BEC y ha terminado causando pérdidas significativas para la empresa. La pérdida total desde octubre de 2013 hasta febrero de 2016 suma alrededor de $ 2.3 mil millones.
• Prevención de estafas de compromiso comercial

Si bien aparentemente no hay cura para la ingeniería social y piratería en los sistemas de la compañía con el acceso de un empleado, son ciertamente algunas formas de alertar a los trabajadores. Todos los empleados deben ser educados acerca de estos ataques y su naturaleza general. Se les debe aconsejar que examinen regularmente cualquier dirección de correo electrónico fraudulenta en su bandeja de entrada. Aparte de eso, todas las órdenes de gestión de nivel superior se deben verificar con la autoridad a través del teléfono o el contacto personal. La compañía debe alentar la doble verificación de datos.