Estafadores roban $800,000 en un fraude de BEC
Más de $800,000 fueron robados de la ciudad de Griffin, Georgia, por estafadores en un ataque de BEC Business Email Compromise (correos electrónicos corporativos comprometidos) al redireccionar dos transacciones a sus propias cuentas bancarias, según fuentes de los medios locales.
Los esquemas de fraude de BEC (también conocidos como Email Account Compromise – EAC) son estafas generalizadas en las que los ciberdelincuentes engañan a los empleados de empresas privadas y organizaciones públicas para que transfieran entidades de dinero en las que confían, pero cuyas cuentas bancarias se cambiaron con las controladas por los delincuentes antes de los ataques.
Siguiendo el “procedimiento” estándar de un ataque de BEC, los atacantes usaron un correo electrónico de suplantación de identidad para engañar al funcionario del Departamento de Finanzas de la Ciudad de Griffin, Chuck Olmstead, para que transfiriera un pago a una cuenta de los estafadores en lugar de al del proveedor legítimo que, debía recibir esos fondos.
Los atacantes robaron el dinero en dos transacciones separadas
“Él (Olmstead) declaró que una empresa que utilizan para las instalaciones de tratamiento de agua (PF Moon), envió un correo electrónico solicitando un cambio de cuenta y necesitaba actualizar la información. Todo parecía correcto en el correo electrónico, por lo que se intercambió la información”, dijo el Departamento de Policía de Griffin a través del oficial Chip Johns.
“La primera transacción se realizó el 21 de junio por $581,180.51 (número de referencia #19-005312). La segunda transacción se realizó el 26 de junio de 2019 por $221,318.78. Más tarde, se descubrió que la dirección de correo electrónico utilizada no era la correcta. El estado cree que pueden recuperar el dinero en los próximos días “.
La sede del condado de Spalding, Georgia, aún no ha recuperado los fondos robados y el incidente descubierto el 26 de junio actualmente está siendo investigado por El Buró Federal de Investigaciones (FBI), según el gerente de la ciudad de Griffin, Kenny L. Smith.
“El verdadero proveedor llamó para saber dónde estaba su pago, y les dijimos que ya les habíamos pagado. Dijeron que no lo habían recibido, así que revisamos”, dijo Smith. “Una vez que descubrimos que había una ligera diferenciación en los correos electrónicos, fue cuando nos enteramos de lo que había sucedido”.
Sistemas del proveedor posiblemente fueron vulnerados antes del ataque
Smith también mencionó las sospechas sobre la infiltración de los sistemas de PF Moon antes del ataque al ver que los estafadores conocían información muy específica, como los montos de las facturas:
Pensamos que alguien había hackeado el sistema del proveedor, y aún sospechamos eso. Recibimos una factura electrónica que parecía provenir de un proveedor con el que hacemos negocios. Quien haya enviado esa factura de manera fraudulenta sabía que hicimos negocios con esa empresa, conocía el proyecto realizado por esta empresa y el costo de ese proyecto.
Sabían los montos de la factura en relación con el proyecto trabajado. Sentimos que para que ellos conozcan toda esa información, alguien tuvo que haber ingresado al sistema del proveedor, así que supongo que eso es lo que las autoridades deben investigar: cómo obtuvieron esa información para enviar las facturas fraudulentas.
El investigador de Seguridad Patrick Kelley, afirma que podía encontrar rápidamente las credenciales que los ciberdelincuentes necesitarían para infiltrarse en los sistemas de la ciudad de Griffin y PF Moon, con la ayuda de varias herramientas y técnicas de OSINT como Shodan, esto mediante la recuperación de datos y el uso de diferentes herramientas.
“Trabajo mucho con gobiernos pequeños. Problemas son muy similares en todos los estados. Presupuestos pequeños. Expectativas altas. Me sentí MUY contento de que la ciudad de Griffin estuviera realizando una Capacitación de concienciación sobre la seguridad. Es bastante raro que esto haya sucedido”, agregó Kelley.
“Lo más importante es que hemos estado presionando para que se use el teléfono, una nota, algún tipo de factor adicional para autorizar un cambio en el pago. Hemos reenviado los pagos de los Comisionados varias veces”.
Herramientas de protección
Según 11Alive, el administrador de la ciudad de Griffin también declaró que “la ciudad tiene el grado más alto de protección de firewalls y entrena constantemente a los empleados sobre los últimos métodos que utilizan los ciberdelincuentes, sin embargo, los delincuentes parecen estar siempre un paso por delante”.
“Este desafortunado incidente dio lugar a que una gran cantidad de dinero se malversara a una cuenta fraudulenta; sin embargo, se realizó una investigación criminal exhaustiva y confiamos en que los fondos se recuperarán. Espero que esto sea una advertencia para todas las empresas y ciudadanos, que sean extremadamente diligentes con transacciones financieras en línea “.
El incidente de la Ciudad de Griffin sigue una tendencia reportada por el Centro de Quejas de Delitos por Internet (IC3) del FBI.
En su Informe de Crímenes por Internet de 2018, muestra que los ciberdelincuentes detrás de las estafas de BEC obtuvieron una ganancia anual asombrosa de $1,2 mil millones, al apuntar a los pagos por transferencia bancaria de individuos y empresas
Como lo explica IC3, “A lo largo de los años, con las estafas se han visto comprometidos los correos electrónicos personales, los correos electrónicos de los proveedores, cuentas de correo electrónico de abogados falsificadas, solicitudes de información sobre el formulario W-2 y orientación al sector inmobiliario”.
Además, como se detalla en un informe de Proofpoint de enero, los ataques de BEC han visto un crecimiento explosivo de 476% entre el ultimo trimestres de 2017 y el último trimestre de 2018, con un número total de intentos de fraude por correo electrónico contra entidades comerciales que aumentaron en un 226%.
Nos intentamos comunicar con los funcionarios de la ciudad de Griffin y PF Moon para conocer su postura, pero no recibimos respuesta al momento de esta publicación.