MNEMO-CERT presenta las características de los fraudes tipo BEC (por sus siglas en inglés Business E-mail Compromise), sus distintas variantes y el impacto que pueden tener en las empresas, tomando como base casos analizados de empresas en México para las que este tipo de amenazas ha representado pérdidas millonarias.

Introducción

Desde hace algunos años los ciberdelincuentes han encontrado en las personas uno de los medios más efectivos para cumplir con sus objetivos. Según un reporte de la empresa FireEye[1] el 91% de los crímenes cibernéticos comienzan con un correo electrónico y solamente 1 de cada 10 utilizan malware para consumar sus propósitos. El resto de los ataques están enfocados en engañar y manipular a los usuarios (ingeniería social) para que realicen actividades que comprometan distintos activos que van desde información sensible hasta económicos.

Aunque la ingeniería social es uno de los recursos que los ciberdelincuentes utilizan con mayor frecuencia, es común que en las empresas exista escepticismo respecto a la efectividad de este tipo de ataques, al suponer que resultan ser evidentes, cuando en realidad no lo son. Quizá esta percepción errónea se deba a la falta de difusión de casos reales que permitan apreciar la planeación, la sofisticación y el impacto que pueden alcanzar este tipo de actividades, pues el tema de ingeniería social suele quedarse en conceptos teóricos y muchas veces se omite en las evaluaciones de seguridad de la información.

A inicios del 2019, Redbanc, la compañía que interconecta la infraestructura de cajeros automáticos de los bancos en Chile, emitió un comunicado en el que informó que se había presentado una amenaza informática en sus sistemas[2]. Este ataque fue atribuido al grupo de hackers conocido con el nombre de Lazarus, que ha afectado de manera significativa al sector financiero global. Este incidente es un claro ejemplo del poder de la ingeniería social, pues para obtener acceso a los sistemas de Redbanc los ciberdelincuentes idearon un esquema orientado en el elemento humano de dicha institución, específicamente en aquellos con conocimientos en informática, por irónico que parezca. El contacto inicial con el empleado de Redbanc se logró a través de una oferta laboral bastante atractiva, publicada en la red de profesionales LinkedIn, en la que mostró interés. Luego de una entrevista realizada vía remota mediante una llamada por Skype, los supuestos reclutadores pidieron al empleado de Redbanc generar un documento de aplicación al puesto vacante para continuar con el proceso. Para cumplir con este requisito la víctima debía utilizar un programa de nombre “ApplicationPDF.exe” (proporcionado por los “reclutadores”) en el que se requería información diversa. Si bien la aplicación parecía inofensiva y no generó ningún tipo de alerta en el sistema, llevaba escondido un malware que permitió el acceso de los ciberdelincuentes a los sistemas de Redbanc.

La manipulación de las personas para que realicen actividades ilegítimas de manera involuntaria se observa en distintos contextos definidos en función de los objetivos y necesidades de los delincuentes. En los primeros días del mes de Agosto del año en curso, el FBI emitió la alerta I-080519-PSA[3] en la que describió la manera en la que actores cibernéticos están reclutando “mulas” -persona que presta su cuenta bancaria (intencionalmente o no) para recibir dinero y luego transferir el monto-. Según lo observado por el FBI, los delincuentes están utilizando sitios de citas para establecer relaciones de confianza que les permitan convencer a sus víctimas de abrir cuentas de banco con el pretexto de supuestos negocios lucrativos o como favores personales, que terminan siendo utilizadas para mover dinero de dudosa procedencia.

Los esquemas de ingeniería social utilizados por los ciberdelincuentes en ataques reales están estructurados para evitar, en lo posible, que sus víctimas generen algún tipo de sospecha. Todo está planeado y cada uno de los elementos utilizados tiene una razón de ser, nada es por casualidad.

Debido al creciente impacto de este tipo de ataques en empresas de diversos sectores y tamaños, MNEMO-CERT considera primordial la divulgación de las técnicas utilizadas por los ciberdelincuentes para fortalecer los programas de formación y concientización en seguridad de la información.

El fraude BEC por sus siglas en ingles Business Email Compromise, es un tipo de estafa dirigida a empresas que realizan transferencias electrónicas. La estafa consiste en engañar a un empleado, principalmente de áreas financieras dentro de la organización, para que realice una transferencia de fondos a una supuesta cuenta de un proveedor o socio pero que al final, el objetivo es que termine en la cuenta bancaria del atacante.

El fraude BEC tiene distintas modalidades y cada una de ellas tiene características y modo de operación propios. Las modalidades más usuales son:

  • Fraude el CEO, el atacante envía un email que parece proceder del CEO o de uno de los directivos de la empresa a un empleado que tenga capacidad para realizar transferencias, dándole instrucciones para que envíe fondos a una cuenta que en realidad se encuentra bajo el control del atacante
  • Orden de pago falsa, el atacante, tras comprometer la cuenta de un usuario, busca en el correo una orden de pago que venza pronto para después contactar con el departamento financiero y pedirles que cambien la cuenta de pago por una diferente.

Independientemente de la modalidad, siempre hay una primera etapa de reconocimiento en la que los defraudadores recolectan y analizan información sobre la entidad y personas en roles específicos, relacionadas con el proceso de pagos y transferencias. Para ello, emplean diversas técnicas de compromiso para acceder a información clave. Algunas de esas técnicas se describen en la siguiente gráfica:

Posteriormente, recurren a tácticas de ingeniería social para crear un escenario de estafa lo más creíble posible para sus víctimas. Como parte fundamental de ese escenario, el delincuente ser hará pasar por alguna persona clave en el proceso solicitud, autorización o transferencia de pagos de tal forma que le permita dar o modificar una instrucción de pago (falsa, pero suficientemente creíble para las víctimas) para enviar los fondos a la cuenta del defraudador.

Caso de Estudio: Fraude BEC – Orden de Pago Falsa

Para ilustrar una de las formas de operación de un Fraude BEC, describiremos un caso real analizado por MNEMO-CERT, el cual ocurrió entre una empresa mexicana (Proveedor) y uno de sus Cliente en el extranjero (Cliente).

Antecedente

Una persona del área financiera del Proveedor envió un correo electrónico a su Cliente con una solicitud de pago por el servicio un servicio prestado que se encontraba pronto a vencer. El área financiera del Cliente recibió la solicitud de pago que indicaba el monto por la prestación del servicio y los datos de la cuenta bancaria para realizar la transferencia electrónica. Cinco minutos después, el Cliente recibió un nuevo correo electrónico que aparentemente venía del mismo remitente, en cuyo texto se explicaba que tuvieron un problema con el banco y que, por lo tanto, era necesario hacer la transferencia de fondos correspondiente al pago del servicio a una cuenta distinta, cuyos datos se indicaban en el mismo correo electrónico. Debido al lenguaje utilizado, al momento en que llegó el segundo correo y a los datos relacionados con una operación real y en curso, el responsable de realizar los pagos en el Cliente no identificó algo anómalo en la solicitud, por lo cual realizó la transferencia a la cuenta indicada por el defraudador. Después de algunos días, personal del área de finanzas del Proveedor llamó al personal responsable de pagos en el Cliente para solicitar nuevamente la transferencia por concepto de pago del servicio, debido a que no la había recibido aún. El personal del Cliente le indicó que ya había realizado la transferencia de acuerdo con las indicaciones recibidas. En ese momento, al revisar los detalles de la comunicación por correo electrónico y de la transferencia, se dan cuanta que fueron víctimas de un fraude. En la siguiente gráfica se ilustra de forme general la secuencia en que se realizó el fraude.

Imagen 1. Diagrama de antecedente de caso.

Modus Operandi

Con base en el análisis de la evidencia relacionada con el incidente, MNEMO-CERT identificó el modus operandi de los atacantes, que corresponde a una orden de pago falsa. La secuencia completa de las acciones relacionadas con el fraude BEC fue la siguiente:

  1. El área de finanzas del Proveedor, envía una solicitud de pago legítima al área de pagos del Cliente, cuya cuenta de correo es pagos@cliente.com, desde la cuenta de correo finanzas@compañia.com.mx. Esta comunicación es parte del proceso regular de solicitud de pago.
  2. De forma automática y sin que el área de finanzas del Proveedor lo perciba, su cuenta de correo está configurada para que en copia oculta se envíe el mismo correo a la dirección atacante@gmail.com.
  3. Es en este momento, cinco minutos después de enviado el correo anterior, que el atacante entra en acción enviando un correo electrónico a la dirección pagos@cliente.com desde una dirección de correo creada por él previamente finanzas@c0mpañia.com.mx. En este caso, la efectividad del engaño radicó en la similitud de las cuentas de correo, aunque la segunda no correspondía al mismo dominio que las direcciones de correo del Proveedor.
  4. El correo electrónico enviado por el atacante incida que, debido a un problema con la cuenta bancaria utilizada regularmente para las transferencias, solicita realizarla a una cuenta distinta, cuyos datos indica en el correo.
  5. Al no identificar que la solicitud de cambio en la cuenta viene de una dirección de correo falsa y al no identificar el cambio de cuenta como una alerta que requiera el inicio de un proceso de verificación adicional por un medio alterno, el Cliente realiza la transferencia electrónica a la cuenta falsa.

Esta secuencia de pasos se describe gráficamente en la siguiente imagen:

Imagen 2. Modus Operandi.

Investigación

MNEMO-CERT realizó una investigación del caso para buscar identificar a los actores que participaron en la actividad fraudulenta y determinar la manera de operar de los ciberdelincuentes. Para ello, se inició por el análisis de los encabezados de los correos electrónicos involucrados en las operaciones descritas en las secciones anteriores. Con base en ese análisis se obtuvo la siguiente información:

  • Las direcciones IP identificadas como origen de los correos electrónicos enviados desde la cuenta finanzas@c0mpañia.com.mx corresponden a un Proveedor de Servicios de Internet que opera en México.
  • El cliente de correo electrónico utilizado para acceder a la cuenta finanzas@compañia.com.mx estaba configurado para enviar automáticamente una copia a la dirección atacante@gmail.com. Al hacer una investigación en Web y Deep Web, se identificó que la misma dirección de correo era mencionada en un caso similar, en el cual se sospechaba que la cuenta legítima podría haber sido comprometida a través de un software malicioso.
  • La cuenta bancaria proporcionada por el atacante corresponde a un banco mexicano. También fue posible identificar el nombre del beneficiario.

Como una segunda fase de la investigación, recolectando, analizando y correlacionando información adicional con base en los datos recolectados, se realizó e identificó lo siguiente:

  • Una red de vínculos amplia del beneficiario de la cuenta, que incluyo datos generales, redes sociales y datos laborales.
  • El beneficiario de la cuenta labora en una empresa de tecnología que se ubica cerca de la empresa defraudada.
  • A partir del análisis de redes sociales del beneficiario se identificó una imagen en la que se observa a un hombre que vestía una camisa con el logotipo de la empresa defraudada.
  • Al verificar la información obtenida con la empresa mexicana, se determinó que la persona de la imagen forma parte del equipo de infraestructura de su empresa.

Imagen 3. Diagrama de investigación.

Con base en el análisis y a la investigación realizada, así como en una investigación interna, la empresa mexicana confirmó que uno de sus empleados fue quien modificó la configuración del cliente de correo utilizado para acceder a la cuenta finanzas@compañia.com.mx de tal forma que todas las comunicaciones enviadas desde esa cuenta se enviaran a la cuenta que él controlaba: atacante@gmail.com. De esa manera pudo hacer el reconocimiento de las comunicaciones relacionadas con pagos para, posteriormente, realizar el fraude aprovechando una solicitud específica de pago a un cliente.

 

Impacto creciente del Fraude BEC

De acuerdo con un comunicado del FBI la estafa BEC continúa creciendo y evolucionando, apuntando a pequeñas, medianas y grandes transacciones comerciales y personales. Entre diciembre de 2016 y mayo de 2018, hubo un aumento del 136% en las pérdidas globales expuestas identificadas. La estafa ha sido reportada en 150 países. Las quejas de las víctimas presentadas y las fuentes financieras indican que se han enviado transferencias fraudulentas a 115 países.

El FBI ha calculado el impacto estimado de los ataques BEC del que tiene conocimiento y ha determinado que entre octubre de 2013 y mayo de 2018, hubo pérdidas globales de $12.5 mil millones de dólares.

Las nuevas cifras representan un aumento significativo de las cifras que informó el FBI en 2017 cuando, de acuerdo a la misma agencia, las pérdidas financieras totales de BEC fueron de aproximadamente $ 5.3 mil millones.

Asimismo, el análisis de Financial Crimes Enforcement Network arrojó que las estafas BEC aumentaron de un promedio de $110 millones por mes en 2016 a $301 millones mensuales en 2018.

Reflexiones finales

MNEMO-CERT ha elegido profundizar en este tema debido a que es un tipo de fraude que afecta a organizaciones de todos los sectores, y por la efectividad que ha tenido en los últimos años. Agreguemos que se requiere de la combinación de suplantación de correo electrónico e ingeniería social para llevar a cabo este tipo de estafa, lo que la hace peligrosa al enviar ataques de forma personalizada, pues el atacante estudia con detenimiento a la organización y elige a sus víctimas potenciales. Estas estafas han evolucionado constantemente, con estafadores cada vez más ingeniosos y cada vez más sofisticados.

La mayoría de las organizaciones no está preparada para enfrentar este tipo de amenazas. Para reducir la probabilidad de ocurrencia de este tipo de ataques es indispensable tomar medidas preventivas que pueden incluir las siguientes:

  • Es fundamental concientizar a los empleados en los procesos de generación de pagos, con la finalidad de que sean capaces de identificar solicitudes fuera de lo común y que presten atención a los correos que soliciten cambios en el remitente de facturas o cuentas bancarias.
  • Verificar los correos con peticiones urgentes mediante un mecanismo interno.
  • Proteger la información de la organización que se expone en medios públicos.
  • Hacer uso de autenticación de correo como SPF, DKIM y DMARC.
  • Capacitar al personal en temas de ciberseguridad
  • Contar con políticas para el manejo de correos sospechosos.
  • Establecer doble factor de autenticación en correos corporativos.
  • Proteger la infraestructura de TI
    • Desactivar macros y javascript en aplicaciones de ofimática

MNEMO cuenta con servicios de seguridad que ayudan a las organizaciones a enfrentar este tipo de estafas. Ofrece servicios proactivos que permiten mitigar estos riesgos, como: Programas de formación y concientización, auditorias de seguridad, fortalecimiento de procesos tecnológicos, evaluación de seguridad de la infraestructura de TI, simulación de ataques y vigilancia digital. Dado que ninguna organización está exenta de que un incidente de este tipo ocurra, también es importante tener presentes los servicios reactivos como Forense Digital, Ciberinvestigación y Respuesta a incidentes, los cuales también son ofrecidos por MNEMO.

MNEMO-CERT desarrolla este tipo de publicaciones con el objetivo de crear consciencia sobre la importancia de la ciberseguridad en las entidades financieras, con base en su amplia experiencia en la entrega de servicios enfocados en ayudar a las empresas a proteger sus activos tecnológicos y de información en alineación con los objetivos específicos y las operaciones críticas del negocio.

[1] https://www.fireeye.com/content/dam/fireeye-www/offers/pdfs/pf/email/ig-it-only-takes-one-email.pdf

[2] https://www.redbanc.cl/web/guest/comunicados

[3] https://www.ic3.gov/media/2019/190805.aspx