El correo electrónico sigue siendo una piedra angular de la comunicación, especialmente en las relaciones entre empresas (B2B). Sin embargo, esta dependencia del correo electrónico también lo ha convertido en un objetivo prioritario para los cibercriminales astutos.
Y con el noticias que el gigante químico y manufacturero con sede en Luxemburgo Orion SA perdió alrededor de 60 millones de dólares después de ser blanco de una presunta campaña de fraude de compromiso de correo electrónico comercial (BEC), fomentar una cultura de concienciación sobre la ciberseguridad e implementar protocolos de verificación sólidos es una prioridad para los compradores y proveedores B2B centrados en la prevención.
Como se vio con el incidente de Orión, sofisticado BEC Los ataques explotan la confianza y la legitimidad que conlleva la comunicación por correo electrónico dentro de las relaciones comerciales, lo que genera importantes daños financieros y a la reputación.
En un Formulario 8-K En un documento presentado ante la Comisión de Bolsa y Valores de Estados Unidos (SEC) el 10 de agosto, el director financiero de Orion, Jeffrey Glajch, compartió que “un empleado de la empresa… fue el objetivo de un plan criminal que resultó en múltiples transferencias bancarias salientes inducidas fraudulentamente a cuentas controladas por terceros desconocidos”.
“La Compañía espera registrar un cargo único antes de impuestos de aproximadamente $60 millones por las transferencias bancarias fraudulentas no recuperadas. … La investigación de la Compañía sobre el incidente y sus impactos en la Compañía, incluidos sus controles internos, continúa en curso. El negocio y las operaciones no se vieron afectados”, agregó el documento.
A diferencia de otras formas de ciberataques, las estafas BEC no se basan en malware ni en enlaces de phishing; en cambio, explotan el elemento humano al aprovecharse de la confianza. que existe En las relaciones comerciales establecidas, son especialmente eficaces en el contexto B2B debido al alto valor de las transacciones, las complejas cadenas de comunicación y el alcance global, así como a otros factores, como la sensibilidad temporal.
Leer más: Los delincuentes se centran en transacciones de alto valor en el aumento del fraude bancario comercial
Todos los caminos conducen a la factura
Los ataques BEC generalmente comienzan cuando el cibercriminal obtiene acceso a una cuenta de correo electrónico dentro de una empresa, a menudo mediante tácticas de phishing o ingeniería social.
Una vez dentro, el atacante monitorea cuidadosamente el tráfico de correo electrónico para comprender los procesos internos de la organización, los patrones de comunicación y el personal clave. Esta fase de reconocimiento puede durar semanas o incluso meses, lo que permitió al atacante reunir la información necesaria para crear un correo electrónico fraudulento convincente.
El paso final implica que el atacante envíe un correo electrónico cuidadosamente elaborado, que a menudo parece provenir de un alto ejecutivo o un socio comercial de confianza, y le ordena al destinatario que transfiera fondos a una cuenta específica o proporcione información confidencial. El correo electrónico está diseñado para parecer urgente y legítimo, aprovechando la existente confianza entre las dos partes para eludir los controles de seguridad normales.
A soltero Un ataque BEC exitoso puede generar millones de dólares en ganancias ilícitas, que superan con creces los beneficios obtenidos al atacar a consumidores individuales. un tercio de los fondos Las pérdidas por delitos cibernéticos se deben a ataques BEC.
“Los estafadores… son expertos en piratear servidores de correo electrónico y manipular a los empleados para que les concedan acceso. Una vez que ingresan, pueden engañar fácilmente al personal de cuentas por pagar (AP) y cuentas por cobrar (AR). Para decirlo así en simple términos: HoyEs demasiado fácil apuntar a los pagos corporativos. Por lo tanto, las organizaciones deben proteger todos los tipos de pago mediante la validación basada en tecnología de los detalles de la cuenta y del beneficiario, al tiempo que se aseguran de que todos los datos y archivos relacionados con el pago estén protegidos de manera que no puedan ser manipulados”, explicó el director de operaciones de nsKnox, Nithai Barzam, a PYMNTS en Una entrevista.
Leer más: Los cibercriminales invaden las bandejas de entrada de las empresas: qué pueden hacer las pequeñas empresas
A medida que los ciberdelincuentes continúan perfeccionando sus tácticas, Es esencial que las empresas permanezcan vigilantes y proactivos en sus estrategias de defensa, cuya importancia no es menor, comenzando por socializar una cultura de agilidad y conciencia.
El primer paso para combatir el fraude en los pagos entrantes “es darse cuenta de que no se trata sólo de… alguno abstracto amenaza“Esto le puede pasar a cualquier empresa”. Ansys Contralor Corporativo Bob Bonacci dijo a PYMNTS.
Y Muchos de los líderes en gestión de riesgos PYMNTS ha hablado para destacar que la primera línea de defensa es una organización propio empleadoshaciendo que la educación individual sobre las tácticas de ataque y los mejores métodos para combatirlas sea más importante que nunca.
Las sesiones de capacitación periódicas pueden ayudar a los empleados a reconocer las señales de una estafa de BEC, como cambios inesperados en el estilo de comunicación o solicitudes inusuales de transferencias de fondos. Se debe alentar a los empleados a verificar la legitimidad de cualquier estafa. correo electrónico que parece sospechosoIncluso si proviene de un contacto conocido.
El monitoreo continuo de las cuentas de correo electrónico para detectar actividad inusual, como intentos de inicio de sesión desde ubicaciones desconocidas o cambios inesperados en los patrones de comunicación, también puede ayudar a detectar una estafa BEC en sus primeras etapas.