El CEO FRAUD o Business Email Compromise (BEC) como lo llama el FBI viene al alza.

Este tipo de estafa no es algo que podamos tomarnos a la ligera, todas las semanas recibimos en Kepler un cliente que ha sido víctima de un fraude de este tipo o bien tuvo la astucia de detectar el engaño y quiere mejorar sus sistemas para disminuir el peligro de fraude.

El 2019 el FBI reportó denuncias de 23.000 empresas con pérdidas por 1.700 MMUSD en Estados Unidos asociados a este tipo de fraude. En sólo un año, causó más de la mitad de daño económico que en todos los años anteriores sumados (3.000 MMUSD). El CEO Fraud es el tipo de estafa cibernética con mayor aumento a nivel global. Entre Mayo 2018 y julio 2019, el FBI reportó que se duplicó la cantidad identificada en el mundo de fondos perdidos.

¿Qué es el Fraude de CEO?

El FBI lo llama BEC (correo electrónico corporativo comprometido por sus siglas en inglés) o EAC (correo electrónico comprometido) y lo define como “una estafa sofisticada que apunta tanto a empresas como personas particulares que realizan transferencias de fondos. Generalmente existe una cuenta de correo electrónico vulnerada a través de ingeniería social o por intrusión informática para realizar transferencias de fondos no autorizadas”.

Básicamente, es lograr engañar a quien debe hacer una transferencia legítima para que la realice a la cuenta del atacante en vez del legítimo receptor, personificando al legítimo receptor a través de correos fraudulentos, haciéndole creer al dueño del dinero, que han cambiado la cuenta corriente de destino. Incluso hemos detectado depósito de cheques en vez de transferencias electrónicas.

Aún cuando las cuentas que reciben los aportes han sido enviadas a 140 países, una abrumadora mayoría se encuentran en China y Hong Kong. A menos que el fraude sea identificado en 24 horas, las probabilidades de recuperar el dinero transferido son mínimas.

Está claro que las grandes empresas son un foco para estos delincuentes, el tiempo y dedicación en defraudar a una empresa grande se paga con un solo “golpe”, pero empresas medianas de exportación o importación como abundan en Chile y Perú (importadora de implementos médicos, exportadoras de fruta, mineras, etc), manejan transferencias de varios miles de dólares, lo que hace lucrativo el tiempo dedicado al engaño.

¿Cómo podemos protegernos?

La gran mayoría de estos ataques provienen de tres vectores; vulnerabilidades en los sistemas por software desactualizado, inyección de software a través de visitas de sitios maliciosos y el principal, correos electrónicos maliciosos con software o enlaces preparados para infectar al incauto que lo abra/descargue/ejecute. El 91% de los ataques exitosos son a través de un correo electrónico malicioso.

Para protegernos, debemos realizar un análisis de vulnerabilidades que detecten donde podemos mejorar, y si no lo han implementado, lo primero será entrenar al personal para que puedan detectar un ataque y conozcan los protocolos de comunicación dentro de la organización para denunciar esto.

Estos ataques comienzan a través de métodos conocidos, que es posible educar y familiarizar a nuestro personal.

Phishing: Correos de phishing son enviados a un número enorme de usuarios en forma simultánea, intentando “pescar” información sensible haciéndose pasar por fuentes respetadas.  Logos del SII, bancos, casas comerciales y otros pueden hacer más creíble estos correos.

Spearphishing: Este es un phishing con esteroides. El ciber criminal estudia el caso en particular para hacer el ataque más eficiente. Datos como locales comerciales cercanos, preferencias o bancos que utilizan. Generalmente el correo es dirigido a una persona o un pequeño grupo. Datos personales son incluidos, como quizás el nombre del cliente o proveedor.

Whaling: Los criminales apuntan a los altos ejecutivos y administradores, típicamente para desviar dineros de las cuentas o robar datos sensibles.  El nivel de personalización y conocimiento detallado del ejecutivo toma un rol clave.

Ingeniería social: Todas estas técnicas caen dentro de ingeniería social. Esta se define como la aplicación de principios sociológicos para problemas sociales específicos. En un contexto de seguridad, se refiere al uso de manipulación sicológica para engañar a personas en divulgar información confidencial o entreguen acceso a fondos.

La ingeniería social comúnmente incluye recolectar información desde redes sociales, algo llamado OSINT (Open Source Intelligence), en Kepler al ser contratados para un hacking ético o análisis de vulnerabildades damos la opción de incluirlo, para comprobar que tan vulnerables somos frente a terceros.

Estas estafas tienen un alto grado de éxito. El reporte de Verizon 2020 “Data Breach Investigations Report DBIR” citado al final de este post, revela que el phishing es uno de los principales focos de vulnerabilidades en brechas exitosas.

Aún cuando los correos maliciosos no son siempre para un CEO FRAUD, son la principal vía de entrada para malware y spyware en la empresa. Hoy, con una cantidad importante de colaboradores trabajando en redes menos seguras, es esperable que alguno pueda encontrarse contaminado con uno de estos softwares, esperando volver a la oficina para escalar en privilegios, aprender costumbres, conocer clientes y proveedores, quien se envía correspondencia con quién para luego, con todo el tiempo del mundo, personificar a su víctima y realizar este tipo de fraudes.

¿Quién está en riesgo?

Evitemos caer en la falacia de “esto sólo les pasa a otros”. Es un negocio tan grande como nefasto.

Algunos ejemplos para compartir con ustedes son:

Startup Isrealí y una empresa de fondos de inversión: 1 millón de dólares en seed money fueron apropiados ilícitamente desde los VC, cuando los delincuentes se presentaron como el Start Up.

Este ataque caracterizado por ser un MiD (Man in the Middle), tuvo éxito dado que los delincuentes crearon falsos dominios con una “s” extra y engañaron a los dos lados en enviando correos electrónicos.

Buffet de abogados: Dos estudios de abogados perdieron casi 2 MM USD por atacantes que enviaron correos electrónicos a las firmas pidiendo que las transferencias de fondos fueran cuentas fraudulentas.

Contratista de defensa: Una empresa contratista de defensa para Estados Unidos y una universidad perdieron 170 mil USD en tres incidentes en los que un atacante se hizo pasar por empleados de la universidad. El atacante ordenó equipos electrónicos caros y facturó a la universidad obteniendo crédito para hacer fácilmente las compras.

Aún cuando el mecanismo lleve por nombre Fraude CEO, no es el gerente general el único objetivo de un delincuente. El departamento de finanzas, Recursos Humanos, Equipo ejecutivo si es que maneja un presupuesto independiente y el departamento de TI son focos de ataques regulares.

La responsabilidad de estos ataques ya no cae sólo sobre los hombros de un gerente de TI o un CISO, es deber de la organización y de la alta gerencia como así también del directorio el lograr introducir correctamente el peso de esta amenaza en su matriz de riesgo, de incorporar empresas expertas capaces de entregar mayor seguridad a la organización y fomentar una fuerte cultura a la ciberseguridad para que las personas dejen de ser el eslabón más débil, transformándose en un firewall humano.

Para esto, necesitamos contar con un entrenamiento continuo, acompañamiento y management adecuado del personal menos seguros, premiando comportamientos seguros y enseñando a los menos.

Debemos ser capaces de identificar los usuarios más riesgosos, lo que tiene dos dimensiones, su comportamiento y su nivel de acceso a datos confidenciales, bases de datos o autorización de transferencias.

Incorporar controles técnicos, como son filtros de correos, es un primer paso, más bien higiénico. Medidas de autentificación más seguras, como doble autentificación para correos es importante.

Crear y mejorar las políticas de seguridad, revisando regularmente los gaps, publicarlas para el conocimiento de toda la organización. Políticas simples como no abrir adjuntos o clickear links en correos desde fuentes desconocidas, no utilizar pendrives sin conocer su procedencia, manejo seguro de contraseñas, entrenamiento de seguridad, políticas para el uso de WiFi, etc. Políticas para las transferencias son sumamente importantes. Como tener doble verificación independiente en el caso de un cambio de cuenta bancaria (correo y telefónico, por ejemplo).

Entrenamiento

Sin importar que tan buenas políticas tengamos en la organización, existirán brechas, es inevitable. Pero la concientización en ciberseguridad reduce dramáticamente el riesgo de caer en una estafa.

Recomendamos la creación de un manual con reglas básicas, simular correos electrónicos maliciosos, entregar claramente una forma de denunciar un correo malicioso, poder identificar “red flags” o elementos en un correo que permita sospechar de este.

Si ya fuiste víctima de un FRAUDE DE CEO recomendamos seguir los siguientes pasos:

1.- Contacta a tu banco inmediatamente. Entrega la mayor cantidad de detalle que puedas.

2.- Contacta a tus abogados. Si la pérdida es relevante, es posible según legislación que debas comunicarte con todos los stakeholders, directorio y accionistas en un marco de tiempo determinado.

3.- Contacta a la policía. La policía de investigaciones tiene un departamento especial para este tipo de denuncias. En Chile la brigada del cibercrimen cuenta con teléfonos de contacto para Santiago +562 2 7080658 – +562 2 7080659, Valparaíso +56 32 3311500 y Concepción +56 41 2865129. En Perú la División de Investigación de Alta Tecnología recibe denuncias en oficina de la Divindat en el piso 9 de la Av. España N° 323

4.- Llama a una reunión de urgencia con el directorio y la alta gerencia. Deben informar los pasos tomados luego del descubrimiento del fraude y medidas a seguir.

5.- Realiza informática forense para entender como entraron (vector de ataque), como parchar dicha vulnerabilidad. Si un correo electrónico fue comprometido, cambia inmediatamente esa clave y revisa todas las formas de recuperar contraseña asociada a esa cuenta. Pero no te detengas ahí, es posible que más de un vector esté presente.

6.- Contacta tu compañía de seguros. Existe un espacio gris donde se mueven e intentan no cubrir estos fraudes dada la eventual responsabilidad de los defraudados.  Incluso cuando han tenido un seguro que incluye ciber ataques, este puede no estar considerado.

Fuentes:

https://www.ic3.gov/media/2019/190910.aspx#fn1

http://CSIRT.gob.cl

https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf

https://www.knowbe4.com