Dominios disfrazados; Esquemas de transferencia bancaria con dominios falsos
Utilizando un esquema de phishing clásico, los estafadores están tomando el control de las cuentas de correo electrónico de la empresa para iniciar transferencias electrónicas de empleados desprevenidos. Mostramos cómo los ladrones atraen a las víctimas a sus trampas y cómo puede proteger a sus clientes.
Un nuevo Controller, José, se reportó para trabajar en ABC Llantas SAC. En su primera semana, recibió un correo electrónico del GERENTE GENERAL de la compañía con las instrucciones: "Procese una transferencia por $ 205,250.29 lo antes posible a la siguiente información de la cuenta. Cárgalos a la cuenta de servicios profesionales. Envíeme la confirmación cuando haya terminado. Gracias, Pedro, GERENTE GENERAL".
José siguió las instrucciones de su GERENTE GENERAL y completó el pago. Cuando se acercó al GERENTE GENERAL al día siguiente, sonrió y dijo: "Señor, me encargué de esa transferencia bancaria que usted solicitó". Este respondió: "¿Qué transferencia bancaria?" Para su horror, José se dio cuenta de que había sido víctima de un esquema de fraude en Internet. El correo electrónico provenía de un dominio corporativo falso e inteligentemente disfrazado.
Este escenario describe un crimen que está ocurriendo en todo tipo de organizaciones internacionales. Se están recibiendo informes sobre un esquema que engañaba a las empresas para que enviaran fondos de manera fraudulenta a "proveedores" con cuentas bancarias en el extranjero. Primero pareció parecerse a un ataque de phishing estándar. [Los ciberdelincuentes utilizan correos electrónicos "phishing" para obtener información confidencial de identificación personal (IIC), como nombres de usuario y contraseñas. Un correo electrónico de aspecto legítimo solicita al destinatario que haga clic en un vínculo e inicie sesión. La víctima ingresa IIC en el sitio y el phishing es lanzado.]
Sin embargo, pronto descubrimos que el esquema tenía tres rasgos únicos :
1) Utilizaba un dominio de correo electrónico falso diseñado intencionalmente para engañar al destinatario haciéndola creer que provenía de su empresa.
2) Las empresas víctimas, más que los bancos, sufrieron la pérdida total de los fondos.
3) Tuvo una tasa de éxito alarmantemente alta, una señal segura de que será una tendencia creciente.
En este fraude, el personal de contabilidad de una empresa recibe un correo electrónico de un "alto ejecutivo" de la empresa que solicita que transfieran fondos a una cuenta bancaria en el extranjero, supuestamente para un nuevo proveedor, solo para descubrir después de la transacción que el correo electrónico fue falsificado.
Según nuestra investigación, los estafadores:
- Conocían al ejecutivo y al personal de la organización que eran responsables de transferir fondos por transferencias bancarias.
- Parecía conocer los límites de transferencia bancaria de los destinatarios de la organización.
- Tuvo acceso a las bandejas de entrada de correo electrónico, calendarios y sistemas de mensajería de voz de los responsables de la transferencia de fondos por transferencias bancaria.
- Se utiliza un lenguaje similar en los correos electrónicos que solicitan transferencias de fondos (excepto por cantidades e instrucciones bancarias para completar la transferencia de fondos).
- Los fondos solicitados se conectarán a "proveedores" por primera vez.
Inicialmente, los detalles de este esquema y la alta tasa de éxito sugerían que los “insiders” estaban ayudando a los estafadores. En cada caso, los estafadores parecían tener información patentada disponible de manera exclusiva para los ejecutivos de la compañía, sus asistentes y empleados de contabilidad. Sin embargo, se descubrió que los estafadores no necesitaban ninguna ayuda interna. Habían ingresado en los sistemas de los clientes leyendo en secreto los correos electrónicos entre ejecutivos y empleados. A través de ataques de phishing o ingeniería social, los estafadores identificaron a los responsables de las transferencias, sus limitaciones de financiación, los registros de gastos de contabilidad corporativa y los protocolos bancarios relacionados con las solicitudes de transferencias electrónicas.
Los estafadores esperaron el momento óptimo para enviar un correo electrónico al empleado de contabilidad a nombre de un ejecutivo para solicitar la transferencia bancaria. (El mejor momento era cuando la parte que podía ordenar la transferencia estaba viajando o de otra manera difícil de alcanzar o no disponible, pero no el funcionario que hizo la solicitud de transferencia basada en el correo electrónico falso.)
Por lo general, usaban un dominio falso, generalmente obtenido de un proveedor extranjero, que era muy similar al dominio real de la compañía para que no fuera sospechoso para el destinatario, y el ejecutivo que estaban suplantando no detectó el correo electrónico. Los estafadores tenían el pago inicialmente dirigido a una cuenta bancaria del exterior y luego redirigió los fondos varias veces hasta que el dinero llegó a un banco ubicado en un paraíso fiscal conocido, lo que hizo que la recuperación y / o enjuiciamiento fuera difícil, si no imposible.
Los estafadores exitosos vaciaron las cuentas en cuestión de horas o días después de las transferencias electrónicas, por lo que la única manera de que las compañías víctimas recuperaran los fondos era retirar rápidamente las transferencias o congelar las cuentas. Una vez completadas las transferencias, también lo fueron las pérdidas financieras para las empresas, mientras que los bancos se mantuvieron indemnes.
La prevención es la única protección verdadera: los protocolos sólidos de los proveedores, los controles financieros y la comunicación y capacitación del personal son esenciales para frustrar a estos estafadores.
¿COMO ENTRAR?
Para muchas de las empresas victimizadas, a menudo es un misterio cómo los estafadores se dirigieron a su negocio, identificaron a los tomadores de decisiones y obtuvieron acceso. Sin embargo, las búsquedas simples en los sitios de redes sociales a menudo proporcionarán nombres, títulos y responsabilidades de los empleados actuales y anteriores de las empresas objetivo, desde gerentes hasta funcionarios en departamentos de cuentas por pagar.
Cuando las redes sociales no son útiles, aquellos estafadores que son ingenieros sociales expertos llamarán a los empleados para obtener las identidades de sus objetivos. Incluso hemos visto esquemas exitosos en los que empleados de contabilidad han dado información comercial confidencial, como protocolos de transferencia bancaria, detalles de cuentas bancarias y contraseñas a estafadores que se hacen pasar por terceros.
Los estafadores luego iniciarán ataques de phishing con la esperanza de que solo un miembro del personal sea inducido a proporcionar el acceso que pone en marcha el esquema. Una iteración temprana del esquema utilizó un ataque de phishing con un sitio web falso de Google Docs para capturar inicios de sesión de correo electrónico corporativos de empleados específicos de empresas víctimas, generalmente empleados del departamento de contabilidad. (Consulte la Figura 1 a continuación: página web de Google Docs de phishing de ejemplo. Tenga en cuenta la solicitud de inicio de sesión y el dominio que no es de Google). Los ataques recientes han aprovechado la capacidad de alojar el sitio web en la plataforma de alojamiento de Google, por lo que la URL parece legítima, y la página web es una réplica casi perfecta de la página de inicio de sesión de Google.
Cuando el empleado introduce las credenciales de correo electrónico proporcionadas por la empresa en el formulario web y hace clic en "Ver documento", el sitio web de phishing redirige al empleado a una página que afirma que no se puede encontrar el documento. Pero ahora las credenciales del empleado se han enviado al estafador que luego las usa para iniciar sesión en la cuenta de correo electrónico. Pasar poco tiempo en las cuentas de correo electrónico de los empleados permite al estafador recopilar la información que necesita para ejecutar las solicitudes de transferencia bancaria fraudulentas.
Armado con la información y el acceso necesarios, el estafador monitorea pacientemente la cuenta de correo electrónico del ejecutivo y espera el momento óptimo para ejecutar el fraude. El estafador, que tiene el control completo de esa cuenta, puede eliminar permanentemente los correos electrónicos o crear reglas de buzón de correo para redirigir las respuestas de los destinatarios a la papelera o los archivos. En algunos casos, el estafador parece esperar hasta que el ejecutivo está viajando o de otra manera sea difícil de alcanzar para ejecutar el esquema. Al parecer, lo hace para frustrar los protocolos bancarios, incluido el protocolo de rutina de "devolución de llamadas" que requiere la autorización verbal del ejecutivo con la responsabilidad final de la transferencia de fondos.