Un atac Business Email Compromise (BEC), o «Correu Corporatiu Compromès», és una estafa sofisticada en què els delinqüents tenen accés a comptes de correu legítims dins de l’empresa. Això els permet enviar missatges des d’un compte real, fent-se passar per persones de confiança, com ara directius o proveïdors habituals. El seu objectiu és enganyar els empleats perquè transfereixin diners o comparteixin informació confidencial.

A diferència d’altres fraus digitals que requereixen programes maliciosos o tècniques avançades, els atacs BEC no sempre depenen de codi maliciós ni atacs complexos, sinó que aprofiten l’accés directe a comptes legítims i la confiança en les relacions laborals per enganyar. Aquesta característica dificulta la detecció, perquè els correus no només aparenten ser legítims pel contingut i l’estil, sinó que en provenir de comptes reals, s’eliminen les sospites habituals sobre remitents falsos o desconeguts.

Una de les característiques més perilloses és la personalització extrema. Els estafadors investiguen a fons l’empresa: coneixen qui pren les decisions, com es redacten els correus, els procediments interns i fins i tot detalls personals com ara viatges o absències. Per això els correus fraudulents solen tenir una aparença totalment legítima. Usen el mateix llenguatge que es fa servir a l’empresa, i fan referència a projectes reals.

Un altre punt clau és aprofitar la confiança. Quan un empleat rep un correu urgent que sembla venir del cap o d’un proveïdor habitual, és poc probable que el qüestioni.

 

També introdueixen elements d’urgència, com ara «és per tancar una operació avui mateix» o «necessito això abans del migdia». Això redueix el marge per pensar o verificar l’autenticitat del missatge.

Els atacs BEC s’han multiplicat els darrers anys, en part perquè s’adapten bé a l’entorn empresarial actual. Amb l’apogeu del treball remot, moltes decisions es prenen únicament per correu electrònic, sense una validació presencial. Això, sumat al fet que els atacants envien correus directament des de comptes compromesos, fa que sigui molt difícil per als empleats o fins i tot per als sistemes automatitzats detectar el frau. El frau ja no exigeix ​​obrir arxius sospitosos ni visitar webs falsos, només cal respondre el que aparenta ser un correu intern més.

Tipus de BEC

Els atacs BEC adopten diverses formes, totes centrades en l’engany i la manipulació. Tot seguit, es descriuen els tipus més comuns, com operen els delinqüents i per què resulten tan efectius:

• Suplantació de directius (Frau del CEO). Aquest és el tipus d’atac BEC més comú. Els delinqüents es fan passar pel director general, el gerent, o algun altre alt executiu de l’empresa per sol·licitar transferències de diners urgents i suposadament confidencials.
  L’atacant investiga quan el directiu estarà fora de l’oficina (viatges de negocis, vacances, conferències) i aprofita aquesta absència per enviar correus electrònics urgents a empleats de finances o administració. El missatge típic sol·licita una transferència confidencial per tancar un negoci important, adquirir una empresa o resoldre un problema legal urgent.
• Frau de proveïdors. Els atacants s’aprofiten de les relacions comercials existents entre l’empresa i els proveïdors habituals. Poden fer-se passar per proveïdors coneguts o interceptar comunicacions reals per modificar la informació de pagament.
  Els delinqüents estudien els patrons de facturació de proveïdors reals, creen factures falses molt similars a les legítimes, o envien actualitzacions d’informació bancària tot sol·licitant que els futurs pagaments s’adrecin a comptes controlats per ells.
• Frau immobiliari. Aquest tipus d’atac s’adreça específicament a transaccions de béns arrels, tot aprofitant les grans sumes de diners involucrats i la complexitat d’aquests processos.
  Els estafadors s’infiltren a les comunicacions entre compradors, venedors, agents immobiliaris i advocats. En el moment crucial del tancament de la transacció, envien instruccions de transferència modificades per redirigir els pagaments cap als propis comptes.
• Modificació de factures. Els atacants intercepten factures legítimes en trànsit i les modifiquen per canviar la informació de pagament, o creen factures completament falses per a serveis que mai no es van prestar.
  Els delinqüents poden comprometre els comptes de correu d’empleats que gestionen els pagaments, o simplement enviar factures falses esperant que es processin automàticament dins dels procediments normals de l’empresa.
• Atacs a Recursos Humans. Els delinqüents es dirigeixen als departaments de recursos humans per obtenir informació personal d’empleats, com ara dades fiscals, números de la Seguretat Social, o informació salarial.
  Es fan passar per alts executius que sol·liciten informació urgent sobre empleats per a auditories, processos legals, o canvis organitzacionals. Aquesta informació es pot utilitzar posteriorment per a altres fraus o vendre’s en mercats il·legals.

Fases de l’atac BEC

Les estafes BEC no tenen lloc de manera improvisada. Són el resultat d’un procés meticulós dividit en diverses fases, en les quals els atacants analitzen, planifiquen i executen amb precisió cada pas per augmentar-ne les probabilitats d’èxit i reduir el risc de ser detectats. Tot seguit, es detallen aquestes etapes.

1. Selecció de l’objectiu. Els delinqüents no trien els objectius a l’atzar. Prefereixen empreses que gestionen transaccions financeres regulars, tenen múltiples proveïdors, o estan en processos de creixement o canvi. També busquen organitzacions amb informació pública abundant sobre la seva estructura i operacions.
2. Investigació profunda. Un cop seleccionat l’objectiu, els atacants dediquen setmanes o mesos a estudiar l’empresa. Revisen llocs web corporatius, xarxes socials professionals, comunicats de premsa i qualsevol informació pública disponible. Mapen l’estructura organitzacional, identifiquen les persones clau i estudien com es comuniquen internament.
3. Preparació de l’engany. Els delinqüents preparen amb cura la seva estratègia d’atac. Això pot incloure crear adreces de correu electrònic molt similars a les oficials, estudiar l’estil de comunicació dels executius, o fins i tot comprometre comptes de correu reals d’empleats o proveïdors.
4. Construcció de confiança. Abans de fer la sol·licitud fraudulenta, els atacants solen establir un patró de comunicació normal. Poden enviar diversos correus electrònics aparentment innocus per confirmar que els seus missatges arriben correctament i que la víctima respon amb normalitat.
5. Execució del frau. Quan consideren que el moment és propici, els delinqüents executen el pla. Això generalment implica una sol·licitud urgent de transferència de diners, canvi d’informació bancària, o petició d’informació confidencial. Aprofiten moments de pressió o absències de personal clau per reduir les possibilitats de verificació.
6. Ocultació i fuga. Després d’executar el frau, els atacants intenten mantenir l’engany el màxim de temps possible per evitar que es descobreixi prematurament. Poden continuar la comunicació fingint normalitat, o implementar tècniques per amagar les evidències de la seva activitat.

Com prevenir els BEC

Prevenir els atacs BEC requereix molt més que solucions tecnològiques. És imprescindible establir polítiques internes sòlides, promoure una cultura organitzativa basada en la verificació i assegurar la formació contínua del personal implicat en la gestió d’informació delicada i transaccions financeres.

• Verificació obligatòria. La mesura més efectiva contra els atacs BEC és establir procediments obligatoris de verificació per a qualsevol sol·licitud financera o informació delicada. Això vol dir que, sense excepció, qualsevol petició de transferència de diners s’ha de confirmar a través d’un canal de comunicació diferent del correu.
• Polítiques d’aprovació múltiple. Cap transferència financera significativa no ha de ser autoritzada per una sola persona basant-se únicament en un missatge. Establir sistemes on les decisions financeres importants requereixin l’aprovació d’almenys dues persones diferents.
• Validació de canvis en informació bancària. Qualsevol sol·licitud de canvi en dades bancàries de proveïdors ha de ser tractada amb una cura especial. Establir un període d’espera obligatori i verificació a través de canals alternatius abans de processar pagaments a comptes modificats.
• Educació i conscienciació del personal. Dur a terme capacitacions regulars on s’expliquin diferents tipus d’atacs BEC amb exemples reals. És fonamental que tots els empleats, especialment aquells en finances, administració i recursos humans, comprenguin aquestes amenaces.
• Cultura de verificació. Crear un ambient organitzacional on sigui completament normal i acceptable qüestionar sol·licituds inusuals, encara que aparentment provenen de superiors jeràrquics. Els empleats han de sentir-se segurs en verificar sol·licituds sense por de repercussions.
• Protecció d’informació pública. Limitar la quantitat d’informació organitzacional que es publica en llocs web corporatius i xarxes socials. Evitar publicar organigrames detallats, informació sobre viatges d’executius o detalls sobre processos interns que puguin ser utilitzats per atacants.
• Monitoratge i detecció primerenca. Establir alertes per a transaccions inusuals, comunicacions des d’adreces similars, però no idèntiques a les oficials, i sol·licituds que no segueixen els procediments habituals de l’empresa.
• Pla de resposta a incidents. Tenir procediments clars sobre què fer quan es detecta un possible atac BEC, incloent-hi qui contactar immediatament, com preservar evidències, i quan notificar a les autoritats corresponents.