Dominios falsos: EJECUCIÓN DEL FRAUDE
Independientemente de cómo los estafadores obtuvieron acceso a los sistemas de una empresa, siempre usaron un dominio falso, generalmente comprado en Nueva Zelanda o India. Debido a que los estafadores adquirieron el dominio a través de proveedores extranjeros, era muy poco probable que las partes privadas o la policía pudieran identificar al estafador. En primer lugar, investigar a esos proveedores puede ser prohibitivo en función de los costos. En segundo lugar, debido a las leyes de privacidad extranjeras, es posible que los vendedores no estén obligados a verificar que el comprador sea una persona o entidad real, y no hay garantía de que el tribunal extranjero reconozca los procesos civiles o penales y exija la divulgación del comprador del dominio.
Los estafadores crearon dominios casi idénticos a los dominios reales de las empresas objetivo. En el ejemplo de ABC Llantas SAC, el dominio para el dominio falso podría, por ejemplo, tener una "l" adicional en la palabra "Llanta" (JSmith@ABCLllanta.com; en lugar de JSmith@ABCLlanta.com). Normalmente, si un estafador ejecuta cuidadosamente el resto del correo electrónico, la víctima no se dará cuenta del dominio falso.
En todos los casos examinamos los correos electrónicos que solicitaban la transferencia bancaria fraudulenta de fondos utilizados en un formato similar y simple con un lenguaje particular diseñado para engañar al objetivo del correo electrónico. La Figura 2 (a continuación) proporciona cinco ejemplos reales y “limpios” de correos electrónicos utilizados en fraudes intentados o exitosos que usan dominios falsos.
Los correos electrónicos utilizan un lenguaje urgente del ejecutivo autorizado junto con códigos de gastos específicos y familiares ("Misc" o "Servicios profesionales"), que ejercen presión sobre los empleados para acelerar la transferencia bancaria. Si bien parece difícil de creer, los empleados de múltiples compañías prepararon transferencias electrónicas a nuevos proveedores, que es posiblemente la mayor señal de alerta en el esquema. En un caso, el empleado conectó los fondos a una cuenta en el extranjero, algo nuevo para la empresa víctima, a un proveedor por primera vez. Por lo tanto, el empleado no reconoció dos señales de alerta:
- el nuevo proveedor y
- la primera transferencia internacional de fondos de la compañía.
CONSEGUIR EL DINERO
Otro aspecto único de este esquema fue que los estafadores no necesitaban la información bancaria de la compañía para ejecutarlo. Si los estafadores tenían éxito, se enteraban de la información bancaria y de la cuenta de la empresa del banco receptor, lo que posiblemente condujo a más robos.
Los estafadores abrirán cuentas bancarias con pequeños depósitos de 7 a 10 días antes de los intentos de ejecutar fraudes. En la mayoría de los primeros casos del esquema que vimos, los estafadores dejaron instrucciones en los bancos receptores para transferir los fondos a cuentas internacionales en países sin un tratado de extradición.
Más recientemente, los estafadores han dirigido fondos a cuentas en bancos estadounidenses. En un caso, el estafador transfirió fondos de una víctima extranjera (canadiense) a un banco de Miami. El estafador luego hizo que el banco transfiriese una parte sustancial de los fondos depositados a una cuenta personal en el mismo banco y retiró $ 50,000 antes de salir del banco. Sorprendentemente, los funcionarios del banco no sospechaban del cliente que a los pocos días de abrir una cuenta con un depósito en efectivo de $ 50 estaba retirando $ 50,000 en efectivo.
En otro ejemplo estadounidense, el estafador solicitó a la entidad víctima que transfiriera fondos a la cuenta de un corredor de yates legítimo a quien el estafador planeaba comprar un pequeño yate. Sin embargo, la empresa víctima sospechó de la solicitud de transferencia bancaria antes de su autorización.
Los estafadores que usan bancos e intermediarios estadounidenses potencialmente aumentan su riesgo de ser atrapados, pero obtienen acceso a los fondos más rápidamente. Además, a diferencia de otros esquemas de fraude (cheques falsos, fraude con tarjetas de crédito, robo de identidad), en los que los bancos suelen incurrir en pérdidas financieras, los estafadores en este esquema han concluido con razón que los bancos son extremadamente reacios a cuestionar las transacciones en las que no tienen exposición a pérdidas.
¿QUÉ PUEDEN HACER LAS VÍCTIMAS?
Una vez que se completa la transferencia bancaria, es casi imposible revertirla si el fraude no se detecta casi de inmediato. Y debido a que el banco no sufre ninguna pérdida siempre y cuando siga los procedimientos adecuados, no congelará una cuenta o devolverá fondos a menos que se le notifique del fraude. La única esperanza para recuperar los fondos es una respuesta rápida. Una compañía víctima debe reaccionar notificando a la unidad de fraude de su banco y solicitando el retiro inmediato de la transferencia bancaria o congelar cuentas con saldos. Los protocolos bancarios permiten la congelación de cuentas en las que se han depositado fondos procedentes de actividades sospechosas de fraude.
La compañía de seguros de la compañía víctima podría requerir que presente quejas ante la policía, lo que debe hacer independientemente. Como investigadores aconsejamos a las compañías que revisen las transferencias pasadas para detectar otras posibles transferencias fraudulentas.
PROTÉJASE A SÍ MISMO Y A SUS CLIENTES
Los estafadores generalmente se dirigen a compañías de tamaño mediano a grande porque rutinariamente transfieren cientos de miles de dólares a terceros que no son familiares para el personal de contabilidad. Sin embargo, las empresas más pequeñas no son inmunes; una pérdida significativa puede afectar gravemente su capacidad para continuar las operaciones.
El primer paso de prevención es revisar los protocolos de transferencia bancaria, tanto internamente como con el banco. Las empresas deben insistir en que los bancos tengan protocolos de devolución de llamadas y cumplirlos, independientemente de lo difícil que pueda ser llegar a los funcionarios designados.
Internamente, las empresas deben revisar sus controles relacionados con los pagos y las transferencias electrónicas y considerar un mayor nivel de autorización para los desembolsos a los proveedores “primerizos”. Por ejemplo, designe a un funcionario que "sea el propietario" de cada proveedor y exija a ese miembro del personal de contabilidad que se ponga en contacto con el funcionario apropiado antes de transferir fondos.
Las empresas también necesitan armarse contra los ataques de phishing y la ingeniería social. La mejor defensa es la educación y la capacitación para ayudar a los empleados a reconocer estas técnicas.
Las empresas que usan o permiten Google Docs o Gmail deben habilitar la verificación en 2 pasos de Google, también conocida como autenticación de dos factores, para evitar que una parte externa inicie sesión en Google sin un token de autenticador necesario.
Sin embargo, mientras que un ataque exitoso usando el código de inicio de sesión de Google 2-Pasos no ha sido reportado, los estafadores a menudo cambian las tácticas a medida que evolucionan las defensas.
Una barrera mayor para evitar el acceso no autorizado a Google Apps es el uso de un proveedor de ISU (inicio de sesión único) o LMAS (lenguaje de marcado de aserción de seguridad) de terceros, como Ping Identity y Centrify. Estos servicios permiten un sistema de inicio de sesión mucho más fuerte en las aplicaciones de Google porque restringen el inicio de sesión en función de la ubicación, el dispositivo y los tokens.
También permiten personalizar el portal de inicio de sesión, lo que dificulta que un atacante anticipe e imite en su página de phishing.
Nadie está a salvo. Los estafadores se han dirigido con éxito a todo tipo de empresas.
Cuanto más exitosos sean, más probable es que crezca el esquema. Revise los protocolos de su proveedor, los controles financieros y las políticas de cumplimiento.
Lo más importante es capacitar y alentar regularmente a los empleados a reconocer las señales de alerta y cuestionar las solicitudes sospechosas. Un empleado que siente que algo está mal generalmente tiene razón.