Fraude cibernético: ¡Descubre cómo el FBI rastrea pérdidas millonarias por correos electrónicos empresariales!

El Buró Federal de Investigaciones (FBI) ha emitido una alerta que señala un incremento del 65% en las pérdidas globales identificadas por la estafa de correo electrónico empresarial, también conocida como Estafa de Cuenta de Correo Electrónico. Este gran aumento se puede atribuir en parte a la pandemia de COVID-19, ya que las restricciones han llevado a más empresas e individuos a realizar sus actividades comerciales de forma virtual.

Las estadísticas recopiladas por el IC3 del FBI (Centro de Denuncias de Delitos en Internet), las fuerzas del orden y los informes presentados por instituciones financieras entre junio de 2016 y diciembre de 2021 revelaron un total de 241,206 incidentes nacionales e internacionales, con pérdidas expuestas por un valor de $43,312,749,946.

Entre octubre de 2013 y diciembre de 2021, se registraron 116,401 denuncias de víctimas en EE.UU. ante el IC3, y 5,260 víctimas fuera de los Estados Unidos. Las pérdidas expuestas para las víctimas de EE.UU. ascienden a casi 15 mil millones de dólares, mientras que las pérdidas expuestas para las víctimas no estadounidenses superan los $1.2 mil millones.

¿Qué es la estafa de correo electrónico empresarial?

La Estafa de Correo Electrónico Empresarial es un sofisticado engaño dirigido a empresas e individuos que realizan solicitudes legítimas de transferencia de fondos.

El uso de la ingeniería social o malware permite a los ciberdelincuentes hacerse pasar por una de las personas involucradas en esas transferencias de dinero, para que la víctima envíe el dinero a una cuenta bancaria controlada por los delincuentes cibernéticos.

Una vez que se detecta el fraude, a menudo es demasiado tarde para recuperar el dinero, ya que los estafadores lo mueven rápidamente a otras cuentas y lo retiran o lo utilizan para comprar criptomonedas.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La estafa no siempre está asociada con una transferencia de dinero, ya que una variación del fraude implica comprometer cuentas de correo electrónico empresariales legítimas y solicitar información personal identificable de los empleados, formularios de Declaraciones de Salarios e Impuestos (W-2) e incluso billeteras de criptomonedas, según informa la agencia.

Las criptomonedas se están involucrando cada vez más en las campañas de estafa de correo electrónico empresarial

Los ciberdelincuentes que ejecutan campañas de estafa de correo electrónico empresarial están utilizando cada vez más criptomonedas porque las transacciones con criptomonedas proporcionan más anonimato que las transferencias bancarias habituales.

Las investigaciones del IC3 después de rastrear algunas iteraciones de esta estafa revelan dos métodos de operación diferentes.

El método de transferencia directa refleja el patrón tradicional de incidentes de estafas de correo electrónico empresarial en el pasado. Un ciberdelincuente envía información de transferencia de dinero modificada a la víctima, y la manipula para que realice un pago a una cuenta de custodia de criptomonedas controlada por el actor malicioso.

El segundo método se conoce como transferencia de segundo salto. En este ataque, los estafadores utilizan a otras víctimas de delitos cibernéticos. El actor malicioso envía instrucciones de transferencia de dinero modificadas a una víctima, para que esta realice un pago a una segunda víctima cuya información personal identificable es propiedad del atacante. Los fondos se transfieren luego a una cuenta de criptomonedas controlada por el ciberdelincuente, quien luego puede retirar el dinero de la forma que deseé. Esta capa adicional de víctimas, que son intermediarios para los fondos, suelen ser víctimas de extorsión, estafas románticas o fraudes de soporte técnico, y han proporcionado toda la información personal identificable necesaria al actor amenazante.

Cómo proteger tu computadora de los virus: métodos y consejos

Cómo protegerse de las estafas de correo electrónico empresarial

• Utilizar canales secundarios o autenticación de múltiples factores para verificar las solicitudes de cambios en la información de la cuenta. Asegurarse al 100% de que la solicitud de cambio proviene de una persona legítima. Si hay alguna duda, no realizar la transferencia.
• Asegurarse de que el correo electrónico sea legítimo. Revisar cuidadosamente los enlaces incluidos en el correo electrónico y verificar todas las propiedades del correo electrónico. Se puede solicitar a su personal de seguridad informática o a los equipos de respuesta a incidentes de seguridad informática (CSIRTs) que analicen el correo electrónico y confirmen su legitimidad. Si hay archivos adjuntos, utilizar análisis de malware y productos de cajas de arena para asegurarse de que el archivo no sea malicioso. Una vez más, solicitar una inspección manual por parte del personal de seguridad informática.
• No enviar información PII (información personal identificable) por correo electrónico, especialmente credenciales de inicio de sesión. Tener en cuenta que la mayoría de las solicitudes de este tipo de información por correo electrónico son intentos de fraude, incluso si parecen provenir de una entidad confiable y legítima.
• Monitorear todas las cuentas financieras de la empresa de manera regular en busca de irregularidades, especialmente depósitos faltantes.
• Mantener actualizado todo el software y los sistemas operativos. En algunos casos, los ciberdelincuentes de estafas de correo electrónico empresarial pueden intentar infectar computadoras con malware, generalmente "stealers" (robadores de información).

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Fraude cibernético: ¡Descubre cómo el FBI rastrea pérdidas millonarias por correos electrónicos empresariales! , tenemos lo ultimo en tecnología 2023.