Ja és costum que en aquest espai posi al dia l’estimat lector en el referent a cibercrims i estafes. Precisament, fa unes setmanes vaig assistir a una ponència en la qual es va mencionar diverses noves formes de criminalitat en aquest àmbit. N’hi va haver una que em va captar especialment l’atenció, no tan sols pel seu enginy, sinó pel risc que genera quan s’aconsegueix executar. Parlo de l’estafa BEC.
L’estafa Business Email Compromise (BEC), o compromís del correu electrònic empresarial, és un tipus de frau cibernètic sofisticat similar a una versió de la caputxeta vermella en què els delinqüents es fan passar per executius o empleats d’una empresa per enganyar altres i robar fons o informació delicada. Utilitzen tècniques avançades com phishing (pesca de credencials) o malware (programari maliciós) per obtenir accés als comptes de correu electrònic corporatius i enviar correus electrònics falsificats sol·licitant transferències de diners a comptes controlades per ells, fingint, per exemple, un canvi de compte des del qual es duu a terme l’activitat comercial.
Abans d’executar l’atac, els estafadors cometen una investigació exhaustiva sobre l’empresa, utilitzant xarxes socials, llocs web corporatius i eines d’enginyeria social. Amb aquesta informació, elaboren correus electrònics que semblen legítims i dirigits a les persones adequades dins de l’organització. Els mètodes comuns d’estafa BEC inclouen el frau del CEO, el segrest de factures i el canvi de proveïdor, tots dissenyats per desviar fons als comptes dels delinqüents.
L’impacte de l’estafa BEC pot ser devastador, amb pèrdues financeres significatives i dany a la reputació de l’empresa. Exemples notables inclouen el cas de Toyota Boshoku Corporation, qui va perdre més de 37 milions de dòlars, i FACC, qui va patir una pèrdua de 50 milions d’euros. A més de les pèrdues econòmiques, la pèrdua de confiança entre clients i socis comercials pot tenir conseqüències a llarg termini.
Per prevenir l’estafa BEC, és crucial educar els empleats sobre els riscos i com identificar correus electrònics sospitosos, implementar l’autenticació en dos factors (2FA) i establir procediments clars per verificar sol·licituds de transferència de fons. També és essencial utilitzar programari de seguretat que monitori i detecti activitats inusuals o sospitoses. La combinació d’aquests esforços és clau per mitigar el risc i protegir les caputxetes vermelles contra aquests llops cibernètics.