5 consejos para proteger su empresa del correo electrónico comprometido
Por Mark A. Smithey, CISSP, CISA, Vicepresidente Senior y Director de Seguridad de la Información, y Jared B. Wilbur, CFE, Vicepresidente y Director de Gobierno de Seguridad Corporativa
¿Está dejando su empresa vulnerable a una estafa de correo electrónico que está causando miles de millones en pérdidas cada año? El FBI informa que los esquemas de Business Email Compromise (BEC) han causado un estimado de $ 50 mil millones en pérdidas en todo el mundo desde 2013, con $ 2,7 mil millones en pérdidas sólo en 2022. 1 2
(Consulte también "Cómo proteger su empresa contra los 3 tipos de fraude más comunes")
¿Qué es un correo electrónico comercial comprometido?
Un correo electrónico comercial comprometido se produce cuando un malhechor envía un correo electrónico fraudulento a un objetivo, solicitando un pago a una cuenta fraudulenta, o para cambiar las instrucciones de una transacción ya en curso. Si los fondos se envían como resultado de la estafa, la empresa es responsable de la pérdida y la recuperación es poco probable.
¿Cómo se llevan a cabo?
Existen múltiples formas de llevar a cabo estas estafas.
- Cuentas de correo electrónico comprometidas. En los últimos meses, algunos delincuentes han utilizado direcciones de correo electrónico aparentemente fiables para realizar transacciones fraudulentas engañando al destinatario para que facilite información confidencial. Para ello, acceden a una cuenta de correo electrónico de un tercero de confianza y la comprometen. A continuación, utilizan esta dirección de correo electrónico para elevar el compromiso, ya sea respondiendo a correos electrónicos existentes, o enviando un correo electrónico utilizando la lista de contactos de la persona comprometida.
- Cuenta de correo electrónico o sitio web falsificados. Ligeras variaciones de las direcciones legítimas ([email protected] frente a [email protected]) engañan a las víctimas haciéndoles creer que las cuentas falsas son auténticas.
- correos electrónicos de "spearphishing". Estos mensajes parecen proceder de un remitente de confianza para engañar a las víctimas y hacerles revelar información confidencial y permitirles el acceso a cuentas, calendarios y datos de la empresa para llevar a cabo esquemas BEC.
- Malware. Los programas maliciosos pueden infiltrarse en las redes de las empresas y acceder sin ser detectados a la facturación, las facturas y los datos, incluidas las contraseñas y la información de las cuentas financieras.
¿Cómo puedo proteger mi empresa?
- Eduque a sus empleados.
Usted y sus empleados son la primera línea de defensa contra la apropiación de cuentas corporativas. Un programa de seguridad sólido, junto con la formación de los empleados sobre las señales de advertencia, las prácticas seguras y las respuestas ante una sospecha de apropiación, son esenciales para proteger a su empresa y a sus clientes. - Verifique siempre las instrucciones de pago antes de actuar.
- Verifique siempre la identidad del remitente antes de facilitar información confidencial o realizar cualquier transacción.
- Si recibe un correo electrónico inesperado, verifique que la dirección de correo electrónico pertenece al remitente; no se limite a buscar su nombre en el encabezamiento. Examine cuidadosamente la dirección de correo electrónico, la URL y la ortografía utilizadas en cualquier correspondencia.
- NUNCA realice una transferencia bancaria, un pago de facturas o un cambio en las instrucciones de pago basándose únicamente en un correo electrónico. Llame al solicitante a un número ya registrado (no del correo electrónico) para verificar que la solicitud es legítima.
- Nunca abras o descargues un archivo adjunto de un correo electrónico de alguien, lo conozcas o no, si no te lo esperas. Si no estás seguro, ponte en contacto con el remitente utilizando un número de teléfono conocido.
- Establece controles, incluidas las devoluciones de llamada, en torno a los cambios en los datos de la cuenta del cliente o los números de devolución de llamada. Nunca aceptes estos cambios por correo electrónico sin verificarlos.
- Desconfíe especialmente si el solicitante le presiona para que actúe con rapidez. Los estafadores suelen intentar crear una sensación de urgencia en torno a la solicitud.
- Mantenga seguros sus sistemas de correo electrónico.
- Utilice la autenticación multifactor, contraseñas complejas y caracteres especiales para proteger el acceso a su correo electrónico.
- No reutilice nunca contraseñas en distintas aplicaciones o sistemas.
- No eluda nunca los controles duales de los sistemas de pago.
Aunque puede resultar incómodo, los controles duales, como los tokens y las aprobaciones del sistema, son un paso necesario para prevenir el fraude. - Colabore con su banco para evitar transacciones no autorizadas.
Hable con su banco sobre programas que le protejan de transacciones no autorizadas. Positive Pay y otros servicios que ofrecen devoluciones de llamada, autenticación de dispositivos, procesos de aprobación por varias personas y límites de lotes le ayudan a protegerse del fraude.
¿Qué hacemos si nos pasa a nosotros?
Es importante que preste atención a las actividades sospechosas y reaccione con rapidez. Preste atención a la actividad inexplicable de la cuenta o de la red, a las ventanas emergentes y a los correos electrónicos sospechosos. Si se detectan:
- Póngase en contacto inmediatamente con su entidad financiera para intentar recuperar los fondos. Cuestión de minutos.
- Presente una denuncia en el Centro de Denuncias de Delitos por Internet. Esto pondrá su caso en cola con las fuerzas de seguridad y el Programa de Respuesta Rápida de la Red de Aplicación de Delitos Financieros (FinCEN ) para buscar una posible recuperación.
- Detenga toda actividad en línea y elimine cualquier sistema que pueda haberse visto comprometido. Guarde registros de lo sucedido.
Washington Trust puede ayudar
Los estafadores son cada vez más sofisticados en sus tácticas, lo que hace más difícil que las empresas se protejan. Es importante trabajar con un banco que le conozca y en el que pueda confiar para que le ayude a mantener su negocio seguro. Los servicios de protección contra el fraude de Washington Trust ayudan a minimizar el riesgo de su organización y le proporcionan las herramientas que necesita para proteger su negocio. Y en caso de que su empresa sufra un fraude, su banquero personal de Washington Trust estará a su lado, acompañándole a lo largo del proceso para ayudarle a mitigar los riesgos y las pérdidas.
1 FBI: "Business Email Compromise: The $50 Billion Scam "
2 Oficina Federal de Investigación: Informe sobre delitos en Internet 2022
By accessing the noted link you will be leaving Washington Trust's website and entering a website hosted by another party. Washington Trust is not responsible for, nor do we control, endorse or guarantee the content of any external sites. Please be advised that you will no longer be subject to, or under the protection of, the privacy and security policies of Washington Trust's website. We encourage you to read and evaluate the privacy and security policies of the site you are entering, which may be different than those of Washington Trust.
By accessing the noted link you will be leaving Washington Trust's website and entering a website hosted by another party. Washington Trust is not responsible for, nor do we control, endorse or guarantee the content of any external sites. Please be advised that you will no longer be subject to, or under the protection of, the privacy and security policies of Washington Trust's website. We encourage you to read and evaluate the privacy and security policies of the site you are entering, which may be different than those of Washington Trust.
By accessing the noted link you will be leaving Washington Trust's website and entering a website hosted by another party. Washington Trust is not responsible for, nor do we control, endorse or guarantee the content of any external sites. Please be advised that you will no longer be subject to, or under the protection of, the privacy and security policies of Washington Trust's website. We encourage you to read and evaluate the privacy and security policies of the site you are entering, which may be different than those of Washington Trust.
By accessing the noted link you will be leaving Washington Trust's website and entering a website hosted by another party. Washington Trust is not responsible for, nor do we control, endorse or guarantee the content of any external sites. Please be advised that you will no longer be subject to, or under the protection of, the privacy and security policies of Washington Trust's website. We encourage you to read and evaluate the privacy and security policies of the site you are entering, which may be different than those of Washington Trust.
Contactar con un asesor de confianza
Para obtener más información o para hablar con uno de nuestros asesores de confianza sobre sus necesidades financieras específicas, póngase en contacto con nosotros en el 800-465-2265 o envíe un formulario en línea.