El Business Email Compromise o compromís del correu electrònic empresarial (BEC) és una pràctica d’enginyeria social que requereix el control de la bústia de correu de la persona a suplantar i un coneixement a fons de l’organització que es vol atacar, des de la seva forma d’escriure correus electrònics fins a les seves relacions professionals.
Font de la imatge: https://internetsegura.cat/compromis-correu-electronic-empresarial-bec/
Podem diferenciar tres variants d’atac BEC:
- El frau del CEO: se suplanta una persona de poder dins l’organització amb l’objectiu de demanar a un treballador amb funcions financeres que faci una transferència econòmica.
- El frau del treballador: se suplanta un treballador per sol·licitar al departament de recursos humans un canvi en el número de compte on transferir la nòmina.
- El frau del proveïdor: se suplanta el compte de correu electrònic d’un proveïdor per informar d’un canvi en el número de compte bancari on dirigir els futurs pagaments.
En aquesta entrada del blog ens volem centrar en la tercera variant, la del frau del proveïdor i és que la Universitat, com a organisme públic, posa a disposició de tots els membres de la comunitat universitària, així com a la ciutadania en general, la informació més rellevant relativa a les seves activitats; així, concursos o contractes amb proveïdors estan publicats al web de la UB.
Aquesta informació, però pot ser emprada per iniciar un procés de frau de tipus BEC. Fent-se passar per un proveïdor o partner i en haver compromès prèviament un o diversos comptes de correu del mateix (a vegades, ni tan sols estan compromesos, sinó que en fan servir comptes de correu molt semblants) se sol·licita el canvi de compte corrent on fer els pagaments pendents o informació que pot ser utilitzada amb posterioritat per donar més versemblança al/s següent/s correu/s que el ciberdelinqüent intercanviarà amb la víctima del frau.
Hem de pensar que aquest tipus de frau és molt sofisticat, l’estafador no té pressa si el guany a obtenir és gran, com més informació de la nostra organització tingui, més credibilitat tindrà en les seves peticions.
El control clau per part de l’organització és configurar les transferències bancàries de manera que es requereixi més d’una autorització per fer-la efectiva i que no n’hi hagi prou amb una confirmació per correu electrònic.
Mai s’ha de fer el canvi d’un compte corrent, transferència o qualsevol altra acció que impliqui un moviment de diners sense estar prèviament 100% segurs que és el destinatari que ho demana és legítim.
Tot i que la Universitat ja té una sèrie de procediments de validació i mecanismes per evitar aquests casos de frau, si detecteu que podeu ser una possible víctima perquè rebeu un correu sospitós d’aquest tipus, obriu un tiquet al PAU adjuntant una captura del correu per poder prendre les mesures adients des d’ATIC.
Per a més informació llegiu l’article El compromís de correu electrònic empresarial (BEC): què és i com posar-hi solució.