El FBI llama a este tipo de estafa como Business Email Compromise y la define como "una estafa sofisticada dirigida a empresas que trabajan con proveedores extranjeros y/o empresas que realizan pagos mediante transferencias electrónicas con regularidad". 

La estafa se lleva a cabo al comprometer cuentas de correo electrónico comerciales legítimas a través de técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizadas.

8 pasos para un programa de prevención eficaz.

1. Identifique a sus usuarios de alto riesgo

Estos incluyen ejecutivos C level, recursos humanos, contabilidad y personal de TI. 

• Revise los perfiles sociales/públicos para conocer las funciones/descripciones de los puestos, la información jerárquica, los detalles de fuera de la oficina o cualquier otro dato corporativo confidencial.
• Identifique cualquier dirección de correo electrónico disponible públicamente y listas de conexiones.

2. Revise los Controles Técnicos

• Email filtering.
• Autenticación de dos factores.
• Cumplimiento automatizado de políticas de identificación de usuarios y contraseñas.
• Gestión integral de accesos y contraseñas.
• Lista blanca o lista negra de tráfico externo.
• Parcheado de todos los sistemas informáticos y de seguridad.
• Administre los niveles de acceso y permiso para todos los empleados.
• Revise los controles técnicos existentes y tome medidas para cerrar las brechas.

3. Establece una política de seguridad

Cada organización debe establecer una política de seguridad, revisarla regularmente para detectar brechas, publicarla y asegurarse de que los empleados la sigan. Debe incluir:

• No abrir archivos adjuntos o hacer clic en enlaces de una fuente desconocida.
• No usar unidades USB en las computadoras de la oficina.
• Política de gestión de contraseñas (sin reutilización de contraseñas, sin post-it en pantalla como recordatorio de contraseña, etc.).
• Capacitación en seguridad requerida para todos los empleados.
• Revisar la política de acceso WiFi. Incluya contratistas y socios como parte de esto si necesitan acceso inalámbrico cuando están en el sitio.

Política sólida de transferencias bancarias: nunca debería ser posible que un ciberdelincuente secuestre una cuenta de correo electrónico corporativa y convenza a alguien de que transfiera una gran suma de inmediato. La política debe limitar tales transacciones a montos relativamente pequeños. Cualquier cosa más allá de ese umbral debe requerir más autorizaciones.

Información confidencial: cuando se trate de registros de empleados, la política debe determinar una cadena de aprobación antes de que se divulgue dicha información.

4. Desarrolle procedimientos estándar

TI debe contar con medidas para:

• Bloquear sitios conocidos por propagar ransomware.
• Mantenga actualizados los parches de software y los archivos de firmas de virus.
• Realice análisis de vulnerabilidades y autoevaluaciones utilizando marcos de mejores prácticas.
• Realice pruebas de penetración periódicas en WiFi y otras redes para ver qué tan fácil es ingresar.
• Domain Spoof Protection.
• Cree reglas del sistema de detección de intrusos que marquen los correos electrónicos con extensiones similares a los correos electrónicos de la empresa.

Procedimientos recomendados:

• Hacer que el personal estudie la política de seguridad y hacerla cumplir. 
• Establecer cómo se informará al liderazgo ejecutivo sobre las ciberamenazas y su resolución.
• Establecer un cronograma para la prueba del plan de respuesta a incidentes cibernéticos.
• Registre tantos dominios de la empresa como sea posible que sean ligeramente diferentes al dominio de la empresa real.

5. Planifique riesgos cibernéticos

• Desarrolle un plan integral de respuesta a incidentes cibernéticos y pruébelo periódicamente. 
• El liderazgo ejecutivo debe estar bien informado sobre el nivel actual de riesgo y su impacto comercial potencial.
• La dirección debe conocer el volumen de ciberincidentes detectados cada semana y de qué tipo.
• Comprenda qué información necesita proteger: identifique las "joyas de la corona" corporativas, cómo protegerla y quién tiene acceso.
• Se debe establecer una política en cuanto a los umbrales y tipos de incidentes que requieren informar a la gerencia.
• El riesgo cibernético DEBE agregarse a los procesos de gobierno y gestión de riesgos existentes.
• Las mejores prácticas y los estándares de la industria deben recopilarse y usarse para revisar el programa de ciberseguridad existente.
• Considere obtener un seguro integral de seguridad cibernética que cubra varios tipos de violaciones de datos.

6. Brinde una formación para todos los usuarios

No importa cuán buenos sean sus pasos de prevención, las infracciones son inevitables. La educación del usuario juega un papel importante en minimizar el peligro, así que comience aquí:

• Capacite a los usuarios sobre los conceptos básicos de seguridad cibernética y de correo electrónico.
• Capacite a los usuarios sobre cómo identificar y tratar los ataques de phishing con la capacitación de concienciación de seguridad de la nueva escuela.
• Implemente un sistema de informes para correos electrónicos sospechosos de phishing, como el botón de alerta Phish.
• Continúe con la capacitación en seguridad con regularidad para tenerla presente.
• Frecuentemente realice ataques de phishing simulados a sus usuarios para mantener la conciencia.

7. Suplantación de identidad continua simulada

• Ejecute una campaña inicial de simulación de phishing para establecer un porcentaje de línea de base del cual los usuarios son propensos al phishing.
• Continúe con los ataques de phishing simulados al menos una vez al mes, pero dos veces es mejor.
• Una vez que los usuarios entienden que serán evaluados regularmente y que hay repercusiones por fallas repetidas, el comportamiento cambia. Desarrollan una actitud menos confiada y se vuelven mucho mejores para detectar un correo electrónico fraudulento.
• Aleatorice el contenido del correo electrónico y las horas en que se envían a diferentes empleados.

8. Esté atento a las señales de alerta

La capacitación de concientización sobre seguridad debe incluir enseñar a las personas a estar atentos a las señales de alerta. Estas son las cosas más comunes a tener en cuenta:

• Redacciones incómodas y faltas de ortografía.
• Ligeras alteraciones de los nombres de las empresas, como Centriffy en lugar de Centrify o Tilllage en lugar de Tillage.
• Direcciones de correo electrónico y URL falsificados que son muy parecidos a las direcciones corporativas reales, pero solo ligeramente diferentes.
• Urgencia repentina o problemas urgentes.
• Según el FBI, a menudo se usan frases como "código para gastos administrativos", "transferencia bancaria urgente", "pago de factura urgente" e "información de nueva cuenta".

¿Te ha interesado este artículo y quieres saber más sobre el Fraude del CEO? Lee esta nota: "Ataques de Fraude del CEO" 

También por cualquier duda o consulta no dudes en escribirme: romina.acro@avalora.com