Las facturas a proveedores, el cebo favorito de los ciberdelincuentes
Entre los ataques relacionados con correos electrónicos fraudulentos, los emails de facturas a proveedores son los más suculentos para los estafadores.
La transformación digital a la que se han visto obligadas una mayoría de compañías como consecuencia de la pandemia de coronavirus no solo trae consigo una mayor eficacia en las operaciones y la posibilidad de obtener más ingresos. También, la exposición de la empresa a un mayor riesgo de ciberataques, entre los que destacan aquellos relacionados con correos electrónicos fraudulentos (BEC).
Según datos de la empresa de ciberseguridad Proofpoint, a día de hoy más de 15.000 ataques BEC son bloqueados al día. O lo que es lo mismo, alrededor de cuatro millones de mensajes cada año en los que se vulneran correos electrónicos empresariales, para conseguir cuantiosas sumas de dinero por parte de las compañías.
En este tipo de ataques, una de las fórmulas que han empezado a seguir los ciberdelincuentes – porque es el que más beneficios trae consigo actualmente, del orden de millones de dólares según Proofpoint- son las estafas relacionadas con supuestas facturas a proveedores.
Desde la firma de ciberseguridad explican que este tipo de estafas sigue unos esquemas más sofisticados y complejos, y se suele materializar de dos formas: ya sea presentando facturas falsas como fueran legítimas o bien redirigiendo pagos a cuentas bancarias controladas por los ciberdelincuentes.
Aunque la tónica habitual observada por los investigadores es que los estafadores inicien el ataque desde una cuenta legítima que ha sido comprometida. En este sentido, una vez que los ciberdelincuentes detectan una transacción, secuestran la conversación que se mantiene desde esa cuenta legítima – la de un proveedor- y suplanta la identidad del mismo.
“No hay cargas de malware, ni archivos ni enlaces maliciosos que inciten a las víctimas a hacer clic en ellos, pero en estos mensajes se entremezcla el engaño, la autoridad y la urgencia, junto con las tácticas de compromiso de cuentas y suplantación de identidad, para hacer que una solicitud falsa de cambio de cuenta bancaria parezca veraz y que la víctima pague el dinero de unas facturas directamente a los ciberdelincuentes”, explican desde Proofpoint.
De ahí que, para los usuarios, resulte difícil distinguir cuándo una comunicación con su proveedor es falsa. Para esto, desde la firma de ciberseguridad recomiendan el uso de tecnologías que sirven para detectar estos engaños.