Has patit un frau BEC?

BEC de l’anglès Business E-mail Compromise o correu electrònic corporatiu compromès és un tipus de frau contra empreses que realitzen transferències electròniques de diners. Suposem que la nostra empresa és l’objectiu dels estafadors.

El ciberdelinqüent suplanta un dels nostres proveïdors (Proveïdor_Serveis S.L.) i intercepta els correus de facturació que ens envien, canviant el compte del banc on efectuar els pagaments, de manera que fem una transferència a un compte controlat per ells.

Imaginem que per a l’última comanda, una vegada acordat el preu amb el proveïdor, hem acordat què ens enviaran la factura per mitjà del correu electrònic per a realitzar la transferència. Rebem la factura i efectuem el pagament al número de compte indicat en el correu rebut.

Passats uns dies, com que no rebem la comanda ens posem en contacte amb Proveïdor_Serveis S.L. per reclamar-ho. Una empleada de Proveïdor_Serveis S.L. ens indica que encara no han rebut el pagament, requisit indispensable per fer l’enviament de la mercaderia o el servei contractat.

Des de la nostra empresa, la persona responsable de finances (normalment és l’objectiu principal dels delinqüents) enviem el justificant de la transferència. En comprovar el justificant, l’empleada de Proveïdor_Serveis S.L. per reclamar-lo. Des de Proveïdor_Serveis S.L. se’ns adverteix que aquest no és el seu número de compte bancari. Què ha succeït? Pot ser que el nostre compte de correu o el del nostre proveïdor estiguin compromesos, és a dir, controlades pel ciberdelinqüent.

Correu real suplantant un domini legítim”.pt” per “-pt.com”

CAS 2: El nostre compte de correu està compromès

El ciberdelinqüent ha pogut accedir al nostre compte i ha creat una regla d’entrada a les nostres bústies de correu. Aquesta regla, funciona reenviant tot el correu procedent de facturacio@ proveïdor_serveis.com, a un compte de correu desconegut, ciberdelinqüent@email .ru, a més, mou el correu de la safata d’entrada a una carpeta oculta, perquè no el detectem.

Si revisem les capçaleres del correu que hem rebut amb el compte bancari modificat es detecta que l’adreça des de la qual es va enviar la factura és facturacio@proveïdor_serveis .com. L’atacant ha creat un domini molt semblant al de Proveïdor_serveis S.L. per suplantar la seva identitat i cometre el frau.

CAS 2: Compte de correu del proveïdor compromès

En aquest cas, Proveïdor_serveis S.L. rep trucades de clients que han rebut correus amb factures amb el número de compte modificat, és a dir, el seu correu està compromès. Aparentment, els correus s’envien des de l’adreça legítima.

Es detecta una regla de sortida a la bústia que ells no havien configurat. Aquesta regla, funciona interceptant tot el correu sortint amb factures cap a clients, i els reenvia a un compte de correu desconegut, ciberdelinqüent@email.ru.

És possible que el seu compte sigui compromès, ja que els correus a clients estan sent enviats des del correu legítim. És probable que el ciberdelinqüent estigui interceptant, tota la informació que arriba a les bústies del proveïdor per posteriorment accedir al correu de facturació del proveïdor per cometre el frau.

Detall d’una transferència real cap a Romania

Com ha succeït?
Necessites ajuda?
Com em recupero?
Com evitar-ho?

Davant de qualsevol dubte, des de l’ANC-AD amb els diferents canals de comunicació o a través del formulari de contacte de la nostra web.

Has estat víctima d’un frau BEC?

En primer lloc, has de posar-te en contacte amb el banc o entitat financera corresponent, per comunicar el fet i intentar revertir la transferència.

Reporta l’incident

Tingueu en compte que el correu rebut amb el número de compte del banc modificat és una evidència i ha de ser analitzat. Per això, hem de reportar l’incident adjuntant el correu i els seus adjunts per a la seva anàlisi a CSIRT-AD (Incidències), de manera que arribi amb les capçaleres originals.

Denúncia

Després, en particular, si s’ha comès el frau, hem de denunciar l’incident perquè s’investigui l’origen del delicte davant a Policia d’Andorra.

Comunica la bretxa de dades

Si han tingut accés al nostre correu electrònic (o a les dades d’algun client), s’ha produït una bretxa de seguretat i pot que s’hagin vist afectades dades personals. Si és així, el responsable del tractament de l’empresa ha de notificar l’incident abans de 72 hores a l’Autoritat de control competent, l’APDA (Agència Andorrana de Protecció de Dades).