Una estrategia BEC bien conocida, es el llamado fraude del CEO, por el que los ciberdelincuentes se hacen pasar por el CEO u otro alto ejecutivo de la empresa.

 Por lo general, envían un mensaje de correo electrónico a alguien del departamento financiero para solicitar una transferencia de fondos (el dinero a menudo acaba en una cuenta internacional que controla el atacante).

Ubiquiti Inc. sufrió un ataque mediante este tipo de estafa BEC. Los ciberdelincuentes consiguieron sustraer 46,7 millones de dólares de la empresa tecnológica antes de que nadie se diera cuenta de que había un problema. Los usuarios con la autoridad suficiente para transferir fondos podrían no cuestionarse las solicitudes de carácter financiero procedentes de altos ejecutivos, incluso si parecen inusuales.

¿Cómo sucedió?

A mediados de mayo de 2015, y solo unas semanas después de haberse estrenado en el puesto, el nuevo director financiero (CFO) de Ubiquiti recibió mensajes de correo electrónico en apariencia procedentes del CEO de la empresa y de un abogado de Londres. El estafador que se hacía pasar por el CEO explicaba que la empresa estaba en trámites de realizar una adquisición importante. En el mensaje se pedía al CFO la mayor discreción y que realizara varias transferencias bancarias para garantizar el éxito del acuerdo. El impostor continuó con el envío de instrucciones de correo falsas y datos bancarios, y solicitando la autorización de los pagos.

En el transcurso de 17 días, el CFO hizo 14 transferencias bancarias (por un total de 46,7 M$) a cuentas de China, Hungría, Rusia y Polonia. Entonces, a principios de junio, un agente del FBI se puso en contacto con el verdadero CEO de la empresa. Los agentes le informaron de que una gran suma de dinero había sido robada de la cuenta de la sede de Ubiquiti en Hong Kong. Era la primera vez que el CEO oía hablar de las transferencias bancarias.

En agosto de 2015, Ubiquiti hizo público en un informe financiero trimestral de la Securities and Exchange Commission (SEC) de EE. UU. que había descubierto un fraude en junio, y describía el incidente como la «suplantación de empleados y solicitudes fraudulentas de una entidad externa». Ubiquiti fue capaz de recuperar solamente parte de sus pérdidas y el daño a la reputación de la empresa fue importante. Su CFO dimitió justo antes de que la empresa hiciera público el ataque BEC. Una investigación interna concluyó que sus controles internos sobre las comunicaciones financieras eran ineficaces, y la empresa tuvo que fortalecer sus controles.

¿Cómo podría haber ayudado la concienciación de los usuarios?

El fraude de proveedores y otras formas de estafas BEC son por naturaleza ataques centrados en las personas. Solamente tienen éxito cuando los destinatarios piensan que están interactuando con alguien en quien confían. De haber contado con una formación de concienciación en materia de seguridad eficaz, el CFO podría haber sabido cómo identificar los indicios reveladores de que los mensajes procedían de un impostor y no del CEO ni de los abogados de la empresa. Combinada con controles fiscales adecuados, la formación de los usuarios puede educar a sus empleados para que detecten de manera instintiva dominios parecidos o no relacionados, URL no seguras y técnicas de ingeniería social que podrían engañar a usuarios con menores conocimientos.

Fuente: Proofpoint https://www.proofpoint.com/us