Definición y descripción del impacto del compromiso del correo electrónico empresarial

Business Email Compromise/Email Account Compromise (BEC/EAC) is a sophisticated scam that targets both businesses and individuals who perform legitimate transfer-of-funds requests. The scam is frequently carried out when a subject compromises legitimate business or personal email accounts through social engineering or computer intrusion to conduct unauthorized transfers of funds. Between June 2016, and July 2019, more than $26B in exposed dollar losses due to BEC/EAC were reported to the Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3).

en flag
nl flag
fr flag
de flag
pt flag
es flag

Anuncio del Servicio Público del FBI (I-091019-PSA)

Compromiso de correo electrónico empresarial: La estafa de $26 mil millones

Definición

Business Email Compromemise/Email Account Compromise (BEC/EAC) es una estafa sofisticada que se dirige tanto a empresas como a individuos que realizan solicitudes legítimas de transferencia de fondos.

La estafa se lleva a cabo con frecuencia cuando un sujeto compromete cuentas comerciales legítimas o personales de correo electrónico a través de ingeniería social o intrusión informática para llevar a cabo transferencias no autorizadas de fondos.

La estafa no siempre está asociada con una solicitud de transferencia de fondos. Una variación implica comprometer cuentas de correo electrónico comerciales legítimas y solicitar formularios de información de identificación personal o declaración de salarios y impuestos (W-2) de los empleados. (1)

Datos estadísticos

La estafa BEC/EAC continúa creciendo y evolucionando, centrándose en pequeñas, medianas y grandes empresas y transacciones personales. Entre mayo de 2018 y julio de 2019, hubo un aumento del 100 por ciento en las pérdidas expuestas globales identificadas. (2) El aumento también se debe en parte a una mayor conciencia de la estafa, que fomenta la presentación de informes a IC3 y socios internacionales y financieros. La estafa ha sido reportada en los 50 estados y 177 países. Se han enviado transferencias fraudulentas a al menos 140 países.

Sobre la base de los datos financieros, los bancos ubicados en China y Hong Kong siguen siendo los principales destinos de los fondos fraudulentos. Sin embargo, la Oficina Federal de Investigación ha visto un aumento de las transferencias fraudulentas enviadas al Reino Unido, México y Turquía.

Las siguientes estadísticas del BEC/EAC se notificaron a la CI3 y se derivan de múltiples fuentes, incluidos los datos de denuncias de denuncias de la CI3 e internacionales de aplicación de la ley y las declaraciones de instituciones financieras entre octubre de 2013 y julio de 2019.

Las siguientes estadísticas fueron reportadas en las denuncias de víctimas ante el CI3 entre junio de 2016 y julio de 2019:

Incidentes nacionales e internacionales: 166.349

Pérdidas en dólares nacionales e internacionales expuestas: 26.201.775.589 dólares

Entre octubre de 2013 y julio de 2019 se comunicaron las siguientes estadísticas de BEC/EAC en las denuncias de víctimas ante la CI3:

Total de víctimas estadounidenses: 69.384

Pérdida total en dólares expuestos de EE.UU.: $10,135,319,091

Total de víctimas no estadounidenses: 3.624

Pérdida total de N0N-US expuesta en dólares: $1,053,331,166

Las siguientes estadísticas fueron reportadas en las denuncias de víctimas ante el CI3 entre junio de 2016 y julio de 2019:

Total de beneficiarios financieros estadounidenses: 32.367

Total de beneficiarios financieros de EE.UU. expuestos a pérdida en dólares: $3,543,308,220

Total de beneficiarios financieros no estadounidenses: 14.719

Total de beneficiarios financieros no estadounidenses expuestos a pérdidas en dólares: 4.843.767.489 dólares

BEC y Desviación de Nómina

El CI3 ha recibido un número cada vez mayor de quejas de BEC relativas a la desviación de fondos de nómina. Las quejas indican que el departamento de recursos humanos o nómina de una empresa recibe correos electrónicos falsos que parecen ser de empleados que solicitan un cambio a su cuenta de depósito directo. Esto es diferente del esquema de desvío de nóminas en el que el sujeto obtiene acceso a la cuenta de depósito directo de un empleado y altera la ruta a otra cuenta. (3)

En un ejemplo típico, los representantes de RRHH o nómina recibieron correos electrónicos que parecían ser de empleados que solicitaban actualizar su información de depósito directo para el período de pago actual. La nueva información de depósito directo proporcionada a los representantes de RRHH o nómina generalmente conduce a una cuenta de tarjeta prepagada.

Algunas empresas informaron que habían recibido correos electrónicos de phishing antes de recibir solicitudes de cambios en cuentas de depósito directo. En estos casos, varios empleados pueden recibir el mismo correo electrónico que contiene una página de inicio de sesión falsificada para un host de correo electrónico. Los empleados introducen sus nombres de usuario y contraseñas en la página de inicio de sesión falsificada, lo que permite al sujeto recopilar y utilizar las credenciales de los empleados para acceder a la información personal de los empleados. Esto hace que las solicitudes de depósito directo parezcan legítimas.

Los planes de desviación de nóminas que incluyen un incidente de intrusión se han comunicado al CI3 durante varios años. Sin embargo, sólo recientemente estos planes han estado directamente conectados con los agentes del BEC a través de las denuncias de IC3.

Entre el 1 de enero de 2018 y el 30 de junio de 2019 se presentaron en el CI3 un total de 1.053 quejas que reportaron esta evolución del BEC del esquema de desviación de nómina, con una pérdida total reportada de $8,323.354. La pérdida media en dólares reportada en una queja fue de 7.904 dólares. La pérdida en dólares de las solicitudes de cambio de depósito directo aumentó más del 815 por ciento entre el 1 de enero de 2018 y el 30 de junio de 2019, ya que hubo informes mínimos de este esquema en las quejas de IC3 anteriores a enero de 2018.

Sugerencias para la protección

Se debe educar a los empleados y alertar sobre este esquema. La capacitación debe incluir estrategias preventivas y medidas reactivas en caso de que sean víctimas. Entre otros pasos, se debe decir a los empleados que:

Utilice canales secundarios o autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta.

Asegúrese de que la URL de los correos electrónicos esté asociada con la empresa de la que afirma ser.

Esté alerta a los hipervínculos que pueden contener errores ortográficos del nombre de dominio real.

Abstenerse de proporcionar credenciales de inicio de sesión o PII en respuesta a cualquier correo electrónico.

Controle periódicamente sus cuentas financieras personales en busca de irregularidades, como depósitos faltantes.

Mantenga todos los parches de software encenados y todos los sistemas actualizados.

Compruebe la dirección de correo electrónico utilizada para enviar correos electrónicos, especialmente cuando se utiliza un dispositivo móvil o de mano, asegurándose de que la dirección de correo electrónico del remitente parece coincidir con la de quién proviene.

Asegúrese de que la configuración del equipo de los empleados esté habilitada para permitir la visualización de extensiones de correo electrónico completas.

Si descubre que es víctima de un incidente fraudulento, comuníquese inmediatamente con su institución financiera para solicitar una retirada de fondos y su empleador para reportar irregularidades con los depósitos de nómina.

Tan pronto como sea posible, presente una queja independientemente de la cantidad en www.ic3.gov o, para las víctimas de BEC/EAC, BEC.IC3.gov.

(1) Referencia PSA 1-022118-PSA Aumento en campañas de phishing W-2

2) La pérdida expuesta en dólares incluye pérdidas reales e intentos de pérdida en dólares de los Estados Unidos

(3) Referencia PSA I-091818-PSA Ciberdelincuentes utilizan técnicas de ingeniería social para obtener credenciales de empleados para llevar a cabo la desviación de nómina

Lea la alerta completa en Business Email Compromise: La estafa de $26 mil millones

Lectura adicional

Centro de denuncias de delitos en Internet de la Oficina Federal de Investigación (IC3)

El FBI destaca la amenaza de ransomware para las empresas estadounidenses

Fuente: ComplexDiscovery

XDD adquiere RVM

According to XDD CEO Bob Polus, “Merging forces with RVM further...

Ipro adquiere NetGovern

According to Dean Brown, CEO at Ipro Tech, “We are thrilled...

Evaluación 2020: Guía de Soporte para Litigios de Chambers y eDiscovery

Chambers Litigation Support 2020 is a comprehensive guide to the leading professional...

¿Una ventaja competitiva? La FTC y el DOJ emiten directrices antimonopolio para evaluar las fusiones verticales

According to FTC Chairman Joe Simons, “The new Guidelines reflect our...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guía de compradores de eDisclosure Systems — Edición 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

¿La carrera a la línea de salida? Anuncios recientes de revisión remota segura

Not all secure remote review offerings are equal as the apparent...

¿Activando la exhibición remota de documentos electrónicos? Una instantánea de DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisiones y decisiones? Nuevas consideraciones para eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Una mirada macro al tamaño del mercado de eDiscovery pasado y proyectado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Un Mashup de tamaño de mercado de eDiscovery: 2019-2024 Visión general de software y servicios en todo el mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

¿Aceleración restringida? Encuesta de confianza empresarial de eDiscovery de verano 2020

Since January 2016, 2,089 individual responses to eighteen quarterly eDiscovery Business...

¿Una cuestión de precios? Una actualización en ejecución de las respuestas semestrales de la encuesta de precios de eDiscovery

First administered in December of 2018 and conducted four times during...

¿Un indicador pandemeconómico? Resultados de la encuesta sobre precios de eDiscovery de verano de 2020

Based on the complexity of data and legal discovery, it is...

¿Covid-19 restringido? El impacto de seis problemas en el negocio de eDiscovery

In the spring of 2020, 51.2% of respondents viewed budgetary constraints...

XDD adquiere RVM

According to XDD CEO Bob Polus, “Merging forces with RVM further...

Ipro adquiere NetGovern

According to Dean Brown, CEO at Ipro Tech, “We are thrilled...

Morae adquiere Asesoría Legal en Gestión Janders Dean

According to Janders Dean founder Justin North, "Now more than ever,...

Fusiones, adquisiciones e inversiones de eDiscovery en el segundo trimestre de 2020

From UnitedLex to Onna, ComplexDiscovery findings, data points, and tracking information...

Cinco grandes lecturas sobre eDiscovery para junio de 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Cinco grandes lecturas sobre eDiscovery para mayo de 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...

Cinco grandes lecturas sobre eDiscovery para abril de 2020

From business confidence to the boom of Zoom, the April 2020...

Cinco grandes lecturas sobre descubrimiento de datos y descubrimiento legal para marzo de 2020

From business continuity considerations to cybersecurity attacks, the March 2020 edition...