Home Sociedad Investigadores de seguridad detectan un ataque BEC de 36 millones de dólares

Investigadores de seguridad detectan un ataque BEC de 36 millones de dólares

Expertos en seguridad han advertido de la creciente amenaza que suponen los ataques por correo electrónico de empresa (BEC) que suplantan a los vendedores y proveedores de las víctimas, tras revelar un audaz intento de robar decenas de millones de dólares.

El correo electrónico en cuestión se envió a un agente de custodia de una compañía de seguros, con copia al supuesto cliente, una empresa del sector inmobiliario comercial. Se falsificó para que pareciese enviado por el vicepresidente senior y consejero general de una empresa de confianza, socia desde hace tiempo de la empresa, según Abnormal Security.

El correo electrónico fraudulento contenía una factura e instrucciones de pago para lo que se describe como un préstamo de más de 36,4 millones de dólares.

El actor de la amenaza trató de añadir legitimidad a la estafa mediante el uso de membrete de la empresa falsificado, y ocultar el origen real del correo electrónico falsificado cambiando sólo una letra del dominio del remitente, de “.com” a “.cam”.

“Para reforzar aún más su credibilidad, el atacante envió un segundo correo electrónico a una conocida empresa de inversiones inmobiliarias, utilizando de nuevo un dominio de nueva creación que terminaba en [.cam]”, continúa Abnormal Security.

“Debido a que la empresa involucrada en este ataque trabaja en el sector inmobiliario comercial, donde a menudo facilitan préstamos de grandes sumas, y la factura parecía ser legítima con destinatarios legítimos, había pocas razones para preocuparse inmediatamente por la validez de la solicitud de transferencia bancaria.”

Sin embargo, la empresa de seguridad utilizó tecnología de IA para detectar algunos signos reveladores de que se trataba de un intento de BEC, además del dominio del remitente falsificado.

BEC perdió su puesto como el tipo de ciberdelincuencia más lucrativo el año pasado, pero cayó sólo al segundo puesto, con los ciberdelincuentes obteniendo más de 2.700 millones de dólares netos de estas estafas en 2022. Dado que esta es solo la suma comunicada al FBI, la cifra real podría ser mucho mayor.