Defiéndase contra el fraude de compromiso de correo electrónico comercial:un nuevo negocio como siempre
Más del 81 % de los profesionales financieros en los EE. UU. informaron que sus organizaciones fueron objeto de fraude en 2019, según la última encuesta de la Asociación de Profesionales Financieros. ‡ sobre fraude de pagos y controles.
Casi todo el mundo está familiarizado con el término phishing . Tal como se define comúnmente, phishing es enviar un mensaje en línea afirmando falsamente ser otra persona, que a menudo incluye una solicitud para que el destinatario tome una acción perjudicial, como descargar un archivo adjunto malicioso o hacer clic en un enlace fraudulento. Al hacer clic o descargar el archivo adjunto, el atacante podría obtener acceso a datos confidenciales como credenciales de inicio de sesión y cualquier privilegio que tenga la víctima.
Con el tiempo, la mayoría de los empresarios han aprendido a identificar enlaces sospechosos en los correos electrónicos. Además, los filtros de correo electrónico han mejorado para detectar y descartar correos electrónicos probablemente enviados con intenciones maliciosas. Pero desafortunadamente, los perpetradores también se han vuelto más sofisticados. Un subtipo de phishing que se ha "profesionalizado" en los últimos años es el compromiso de correo electrónico comercial (BEC).
Acerca de BEC y transferencias bancarias
El fraude de transferencias electrónicas se ha vuelto tan frecuente que el FBI emitió un anuncio de servicio público‡ sobre el tema. En este anuncio, el FBI señaló que este tipo de fraude ha crecido más del 100 % desde junio de 2016 hasta julio de 2019, lo que ha resultado en una pérdida de más de $26 mil millones de dólares.
En los esquemas BEC, normalmente no hay ningún enlace malicioso. Más bien, el objetivo es encontrar una manera de hacerse pasar por un tomador de decisiones de confianza. Un ejemplo común son los perpetradores que se hacen pasar por un ejecutivo de la empresa y envían un correo electrónico "como" ese ejecutivo solicitando la finalización de una transferencia bancaria.
Para maximizar la probabilidad de éxito, los perpetradores pueden realizar una investigación detallada y una amplia ingeniería social. Pueden saber, por ejemplo, que su empresa está involucrada en un proyecto en particular con un proveedor en particular. Es posible que hayan recopilado información personal sobre el ejecutivo de la empresa a través de ataques anteriores al departamento de recursos humanos, información que puede ayudarlos a crear una solicitud que refleje perfectamente las instrucciones de cableado genuinas.
A veces, pueden realizar un intento de suplantación de identidad desde una dirección de correo electrónico que se parece a la real. Por ejemplo, en el transcurso de un día laboral apresurado, muchas personas no notarían la diferencia entre [email protected] y [email protected]. Y eso es solo si están buscando diferencias en primer lugar.
En otros casos, los perpetradores realizan intentos de estafa BEC al piratear la cuenta de correo electrónico de un ejecutivo. En ese momento, no necesitan falsificar la apariencia de un correo electrónico legítimo e intentar enmascarar su origen real. Más bien, ahora realmente "son" el ejecutivo y pueden tomar cualquier decisión como ese ejecutivo en función de su nivel de privilegios.
Combine estas técnicas sofisticadas con operaciones de fraude dedicadas y profesionalizadas, y el resultado son miles de millones de dólares en pérdidas financieras reales para las BEC.
¿Se podría realizar una solicitud de transferencia bancaria 'de usted'?
Supongamos que un actor malintencionado pirateó su correo electrónico y envió una solicitud a su equipo de finanzas para que transfiera fondos a un proveedor existente suyo, ya que el cronograma del proyecto se adelantó y le gustaría que se pague al proveedor antes de su visita in situ del equipo al día siguiente. El monto solicitado para la transferencia está en línea con otros pagos a este proveedor.
Además, diga que "usted" le informa a su equipo de finanzas que acaba de recibir y está pasando nuevos detalles de la cuenta bancaria del proveedor, que, dice su correo electrónico, ha cambiado por una razón plausible.
¿Qué tan seguro está de que la solicitud de transferencia bancaria no se cumplirá? Después de todo, proviene de su dirección de correo electrónico real (sin suplantación de identidad), no incluye enlaces sospechosos y realiza una solicitud para pagar a un proveedor existente. que es posible que incluso haya tenido una conversación reciente con estos mismos profesionales de las finanzas.
A medida que los esquemas BEC se vuelven más sofisticados, no puede confiar en que usted o su gente tengan un ojo agudo. Debe tener flujos de trabajo y sistemas bien establecidos con anticipación.
Qué puede hacer para mantenerse protegido
Las siguientes son medidas de protección básicas para ayudar a su organización a evitar pérdidas financieras por estafas de este tipo.
- Establecer instrucciones de pago predefinidas; nunca varíe de esos patrones a menos que los cambios se verifiquen minuciosamente.
- Limite estrictamente la cantidad de empleados en su organización que tienen autoridad para aprobar y/o realizar transferencias electrónicas.
- Establezca un protocolo mediante el cual las solicitudes de transferencia bancaria enviadas por correo electrónico siempre se validen por algún otro canal de comunicación o mediante una autenticación de múltiples factores.
- Confirme siempre verbalmente cualquier cambio en las instrucciones de pago de un proveedor utilizando datos de contacto registrados que no provengan del correo electrónico. Mantenga una lista no electrónica de contactos en estos proveedores que sepa que están autorizados para aprobar solicitudes de cambio de instrucción de transferencia.
- Siempre que un banco se comunique con usted para verificar la transferencia bancaria, retrase la transacción hasta que se puedan realizar verificaciones adicionales.
- Requerir aprobación doble para cualquier solicitud de transferencia bancaria que involucre:
- Un monto en dólares por encima de un umbral específico
- Socios comerciales que no se han agregado previamente a una lista de socios comerciales aprobados para recibir pagos por transferencia
- Cualquier nuevo socio comercial
- Nuevos números de cuenta y/o banco para socios comerciales actuales
- Transferencias bancarias a países fuera de los patrones comerciales normales
- Eduque a sus empleados sobre BEC y los pasos que pueden tomar para minimizar el riesgo.
Finalmente, haga operaciones bancarias con socios que conozca. El equipo de pagos bancarios que atiende a su organización debe estar familiarizado con su negocio y sus patrones normales. Esa familiaridad, junto con la conciencia diligente y los sofisticados sistemas de advertencia de fraude, lo ayudan a protegerse de una amenaza grave y creciente.
Manténgase informado sobre las tendencias de la industria y las noticias destacadas de la empresa visitando nuestro Noticias de la industria sección sobre umb.com . Siga a UMB en LinkedIn, Facebook ‡ y Twitter ‡ para ver actualizaciones regulares sobre nuestra empresa, personas y perspectivas financieras oportunas.
-
10 formas de financiar un nuevo negocio
Comenzar un puesto de limonada rentable en el vecindario no requiere mucho capital. Cuando tenía ocho años, inauguró un puesto de limonada muy rentable en su patio delantero. Con nada más que un paqu
-
Compromiso de correo electrónico empresarial (BEC):cómo identificar señales de alerta y reducir el riesgo
Las estafas de compromiso de correo electrónico comercial (BEC) son un tipo de fraude de pago en línea que se dirige a las empresas y puede provocar pérdidas financieras significativas. BEC implica ob
Negocio
- New York Life gastará $ 6.3 mil millones en la vida grupal de Cigna,
- Mantener al personal satisfecho es realmente un buen negocio,
- Por qué la quiebra bancaria es (probablemente) un negocio tan habitual para usted
- ¿Cómo inician los empresarios nuevas empresas de gestión de inversiones?
- ¿Debo asegurar mi pequeña empresa contra daños informáticos y riesgos de datos?
- ¿Puedo asegurar mi pequeña empresa contra robos y otros delitos?
- ¿Tiene un nuevo negocio? Opciones de seguro que debe considerar
- Seguridad criptográfica:¿Qué es el criptojacking? ¿Cómo prevenirlo y defenderse?
- Mantenerse ágil:financiación y planificación empresarial en una nueva era
-
Cómo elegir la herramienta de marketing por correo electrónico adecuada para su empresa Hay muchos recursos que le asegurarán que el marketing por correo electrónico sigue siendo una forma incomparable de marketing digital que puede atraer a muchos clientes, y todos son ciertos. Si ha es...
-
10 problemas comunes para los nuevos negocios Las nuevas empresas quieren evitar publicar este letrero. Cada calle concurrida del centro tiene una ubicación de escaparate que está maldita. Un mes era una pizzería. Seis meses después era la ofici...