Cómo protegerse del compromiso del correo electrónico empresarial (BEC)

Desde el brote de la pandemia de COVID-19 a principios de 2020, muchas empresas han puesto en marcha una oficina en el hogar para proteger a los empleados de infecciones y mantener sus operaciones ininterrumpidas. El modelo tradicional de trabajo de oficina se ha visto completamente anulado debido a la epidemia. Mientras que las empresas están ocupadas ajustando los procedimientos de trabajo para adaptarse a la nueva normalidad, los ciberdelincuentes se arriesgan para obtener beneficios utilizando Business Email Compromise (BEC) y Email Account Compromise (EAC).

Business Email Compromise (BEC) es un exploit en el que un ciberdelincuente finge ser un ejecutivo o empleado, tratando de conseguir que un colega, cliente o proveedor transfiera fondos o información confidencial al phisher. A menudo, un atacante creará una cuenta con una dirección de correo electrónico casi idéntica a una en la red corporativa, basándose en la confianza asumida entre la víctima y su cuenta de correo electrónico.

En cuanto al compromiso de la cuenta de correo electrónico (EAC), los atacantes encuentran diferentes formas, como la propagación de contraseñas, el phishing, el malware, para comprometer su cuenta de correo electrónico y obtener acceso a buzones de correo legítimos. Una vez que los atacantes obtienen acceso legítimo a la cuenta de correo electrónico del objetivo, tienen acceso a correos electrónicos y contactos para perfilar su objetivo. Mantendrán el acceso continuo a la cuenta comprometida creando reglas de reenvío de correo electrónico o cambiando los permisos de la cuenta, de modo que puedan monitorear de cerca al objetivo y realizar fraudes por correo electrónico.

Según el "Informe sobre delitos informáticos de 2019" publicado por el Centro de quejas de delitos informáticos (IC3) de la Oficina Federal de Investigaciones (FBI) de EE. UU. A principios de 2020, durante el período se recibieron un total de 23,775 quejas sobre fraude por correo electrónico comercial o cuentas de correo electrónico. de 2019. La intrusión causó un total de más de 1.700 millones de dólares estadounidenses en pérdidas, lo que representa aproximadamente la mitad de las pérdidas totales por delitos cibernéticos en 2019.

Cómo protegerse a sí mismo y a su empresa

  • Preste atención a la dirección de correo electrónico del remitente. Examine la dirección de correo electrónico, la URL y la ortografía cuidadosamente. Los ciberdelincuentes pueden usar un nombre de dominio similar para enviar correos electrónicos de phishing.
  • No haga clic en nada en un correo electrónico o mensaje de texto no solicitado pidiéndole que actualice o verifique la información de la cuenta. Confirme dos veces con el colega directamente por teléfono para evitar pérdidas financieras y la divulgación de datos personales.
  • Nunca abra un archivo adjunto de correo electrónico ni haga clic en enlaces desconocidos de alguien que no conoce. Pase el mouse sobre la dirección de correo electrónico o el enlace web para verificar la URL del dominio.
  • Utilice contraseñas seguras e implemente la autenticación de dos factores en todas las cuentas siempre que sea posible para minimizar el riesgo de piratería. La autenticación multifactor a través de una aplicación de teléfono inteligente es más segura que los mensajes token SMS.
  • Nunca se apresure a realizar pagos a pesar de que el solicitante lo presiona para que actúe rápidamente. Verifique las solicitudes de pago y compra en persona si es posible o llamando a la persona para asegurarse de que sean legítimas. Siempre cuestione y valide los nuevos pagos o cambios en los acuerdos de pago existentes.


Deja una respuesta

Subir