El correo electrónico sigue siendo un elemento clave de la comunicación, especialmente en las relaciones entre empresas (B2B). Sin embargo, esta dependencia del correo electrónico lo convierte en un objetivo principal para los ciberdelincuentes expertos.
Y con el noticias que el gigante luxemburgués de productos químicos y fabricación Orion SA perdió aproximadamente 60 millones de dólares después de ser blanco de una supuesta campaña de fraude de compromiso de correo electrónico comercial (BEC), promoviendo una cultura de concientización La ciberseguridad y la implementación de protocolos de verificación sólidos son una prioridad para los compradores y proveedores B2B centrados en la prevención.
Como vimos con el incidente de Orión, BEC Los ataques explotan la confianza y la legitimidad que la comunicación por correo electrónico brinda a las relaciones comerciales, lo que genera importantes daños financieros y de reputación.
en un Formulario 8-K presentado ante la Comisión de Bolsa y Valores de EE. UU. (SEC) el 10 de agosto, Orion CFO Jeffrey Glajch informó que un “empleado de la empresa… fue el objetivo de un plan criminal que resultó en múltiples transferencias salientes realizadas de manera fraudulenta a cuentas controladas por terceros desconocidos”.
“La compañía espera registrar un cargo único antes de impuestos de aproximadamente $60 millones por transferencias fraudulentas no recuperadas. …La investigación de la empresa sobre el incidente y sus impactos en la empresa, incluidos sus controles internos, continúa en curso. El negocio y las operaciones no se vieron afectados”, agrega el documento.
A diferencia de otras formas de ciberataques, las estafas BEC no se basan en malware ni enlaces de phishing; más bien, explotan el elemento humano explotando la confianza. existe en las relaciones comerciales establecidas. Son particularmente eficaces en el contexto B2B debido al alto valor transaccional, las complejas cadenas de comunicación y el alcance global, así como a otros factores, incluida la sensibilidad al tiempo.
Más información: Los delincuentes apuntan a grandes transacciones en medio del aumento del fraude en la banca comercial
Todos los caminos conducen a la factura.
Los ataques BEC suelen comenzar cuando el ciberdelincuente obtiene acceso a una cuenta de correo electrónico dentro de una empresa, a menudo mediante tácticas de phishing o ingeniería social.
Una vez dentro, el atacante monitorea cuidadosamente el tráfico de correo electrónico para comprender los procesos internos, los patrones de comunicación y el personal clave de la organización. Esta fase de reconocimiento puede durar semanas o incluso meses, lo que permite al atacante recopilar la información necesaria para elaborar un correo electrónico fraudulento convincente.
El paso final es que el atacante envíe un correo electrónico cuidadosamente elaborado, que a menudo parece provenir de un alto ejecutivo o un socio comercial de confianza, solicitando al destinatario que transfiera fondos a una cuenta específica o proporcione información confidencial. El correo electrónico está diseñado para parecer urgente y legítimo, aprovechando existente confianza entre ambas partes para eludir los controles de seguridad normales.
A Soltero Un ataque BEC exitoso puede generar millones de dólares en ganancias ilícitas, muy superiores a las ganancias obtenidas al atacar a consumidores individuales. un tercio de los fondos Las pérdidas por delitos cibernéticos provienen de ataques BEC.
“Los estafadores… son expertos en piratear servidores de correo electrónico y manipular a los empleados para que les concedan acceso. Una vez que lo logran, pueden engañar fácilmente al personal de Cuentas por Pagar (AP) y Cuentas por Cobrar (AR). para decirlo En simple términos: Hoyes demasiado fácil orientar los pagos comerciales. Por lo tanto, las organizaciones deben proteger todos los tipos de pago mediante la validación tecnológica de la información del beneficiario y de la cuenta, al tiempo que garantizan que todos los datos y archivos relacionados con los pagos estén protegidos para que no puedan ser falsificados. nsKnox ARRULLO Nithai Barzam explicó a PYMNTS en una entrevista.
Más información: Los ciberdelincuentes están invadiendo las bandejas de entrada de las empresas: qué pueden hacer las pequeñas empresas
A medida que los ciberdelincuentes continúan perfeccionando sus tácticas, es esencial que las empresas permanezcan vigilantes y proactivos en sus estrategias de defensa, una de las cuales es comenzar por socializar una cultura de agilidad y conciencia.
El primer paso para combatir el fraude en los pagos entrantes “es comprender que no se trata sólo de algunos abstracto amenaza“Esto le puede pasar a cualquier negocio” ansys Controlador de gestión Bob Bonacci dijo a PYMNTS.
Y mucho funcionarios de gestión de riesgos PYMNTS se pronunció por señalar que la primera línea de defensa es una organización propio empleadoshaciendo que la educación individual sobre tácticas de ataque y los mejores métodos prácticos para combatirlas sea más importante que nunca.
Las sesiones de capacitación periódicas pueden ayudar a los empleados a reconocer los signos de una estafa de BEC, como cambios inesperados en el estilo de comunicación o solicitudes inusuales de transferencia de fondos. Se debe alentar a los empleados a verificar la legitimidad de cualquier estafa de BEC. correo electrónico que parece sospechosoincluso si proviene de un contacto conocido.
El monitoreo continuo de las cuentas de correo electrónico para detectar actividades inusuales, como intentos de inicio de sesión desde ubicaciones desconocidas o cambios inesperados en los patrones de comunicación, también puede ayudar a detectar una estafa BEC en sus primeras etapas.
