El Grupo de Delitos Cibernéticos Roba $ 1.3M de los Bancos



Una mirada a cómo el llamado Grupo Banquero Florentino estuvo al acecho durante dos meses en un sofisticado ataque de compromiso de correo electrónico comercial contra compañías financieras israelíes y británicas.

Un grupo cibercriminal denominado Florentine Banker Group lanzó ataques avanzados de compromiso de correo electrónico comercial (BEC) contra firmas financieras líderes de Israel y el Reino Unido, robando $ 1.3 millones de dólares en solo cuatro transacciones separadas.

A diferencia de un BEC básico en el que un atacante envía uno o dos correos electrónicos haciéndose pasar por un ejecutivo en la organización víctima, el Grupo Banquero Florentino robó credenciales de correo electrónico y estuvo al acecho durante dos meses antes de desviar transferencias electrónicas importantes por valor de millones de dólares, un nuevo informe de Verify Stage Study muestra.

Según Verify Position, solo se recuperaron $ 600,000 a través de alguna intervención de emergencia inmediatamente después del ataque.

«La gente necesita entender que estos ataques ocurren rápidamente», dice Lotem Finkelstein, gerente del grupo de inteligencia de amenazas de Check Stage. «En la mayoría de los casos, una vez que se realizan las transferencias electrónicas, se pierden para siempre nuestros clientes tuvieron la suerte de recuperar la mitad de su dinero».

Finkelstein dice que Test Issue había estado observando las actividades de The Florentine Banker Team durante al menos seis meses antes de que su empresa comenzara a trabajar con las víctimas en diciembre pasado. Las empresas seleccionadas son tres grandes empresas del sector financiero del Reino Unido e Israel que transfieren semanalmente grandes sumas (en millones de dólares) a nuevos socios y proveedores externos.

La estafa

Así es como los atacantes lo lograron: se enviaron correos electrónicos de phishing dirigidos a dos altos funcionarios durante varias semanas, y solo ocasionalmente agregaban nuevas personas a la lista de objetivos hasta que finalmente obtuvieron acceso a la cuenta de correo electrónico de la víctima.

Una vez que los atacantes obtuvieron el management de la cuenta de correo electrónico de la víctima, pudieron leer sus correos electrónicos para comprender los diferentes canales utilizados por la víctima para realizar transferencias de dinero, las relaciones de la víctima con otros terceros, como clientes, abogados, contadores y bancos. y, finalmente, roles clave dentro de la empresa víctima.

Finkelstein dice que el siguiente paso fue aislar a la víctima de terceros y colegas internos mediante la creación de reglas de buzones maliciosos. En este caso, los correos electrónicos con palabras predefinidas como «factura», «devuelto» o «mistake» se moverían a otra carpeta que la víctima no united states habitualmente, como la carpeta RSS.

«Los atacantes solo moverían un par de correos electrónicos a la carpeta RSS, los moverían de manera que la víctima no los notara», dice Finkelstein.

Richard Henderson, jefe de inteligencia de amenazas globales en Lastline, dice que en este punto los atacantes tenían una visibilidad overall del correo electrónico de la víctima. Para que pudieran esperar hasta que se enviara el correo electrónico autorizando una transferencia bancaria, interrumpirlo y luego enviar las instrucciones de transferencia bancaria a una cuenta bancaria en poder de los estafadores.

En uno caso, los atacantes notaron una transacción planificada con un tercero en la que la empresa sugirió que usar una cuenta bancaria en el Reino Unido acelerara el proceso. Sin embargo, la compañía que recibiría la transferencia de fondos dijo que no tenía una cuenta bancaria en el Reino Unido. Los atacantes vieron una oportunidad: proporcionaron una cuenta bancaria alternativa en el Reino Unido a través de un correo electrónico falso e interceptaron el pago.

«Es muy ingenioso cómo operan estos esquemas», dice Henderson. «La mayoría de nosotros tenemos un par de cientos de correos electrónicos que recibimos todos los días para que no nos perdamos uno o dos correos electrónicos si fueran desviados a una carpeta oculta. Para la víctima, todo parece regular, no se enteran del dinero robado hasta que el banco o el socio comercial llame 30 días después y pregunte qué pasó con el pago «.

Si bien el ransomware recibe mucha prensa, los BEC son un gran negocio para los piratas informáticos y merecen mucha más atención, dice Peter Firstbrook, vicepresidente de investigación de Gartner.

Firstbrook agrega que el FBI informó recientemente que hubo $ 1.7 mil millones robado en BEC solo en 2019. Esa es una cantidad masiva de dinero en comparación con el $ 144 millones robado en bitcoin de los ataques de ransomware en los últimos seis años. En los casos más prolíficos, un BEC le costó a Toyota $ 37 millones y a Nikkei $ 29 millones.

Entonces, ¿cómo pueden protegerse las organizaciones?

Finkelstein de Verify Issue dice que si bien las organizaciones siempre deben implementar una solución de seguridad de correo electrónico, no pueden confiar solo en la tecnología. Tienen que considerar el component humano. Esto incluye capacitar al individual sobre cómo detectar enlaces defectuosos y correos electrónicos fraudulentos, y establecer procesos donde las personas responsables de las transferencias bancarias grandes agreguen un segundo element de verificación llamando a la persona que solicitó la transferencia o llamando a la parte receptora.

Henderson de Lastline agrega que las empresas deben dejar de lado a sus principales empleados y educarlos sobre la necesidad de autenticación multifactorial. Él dice que cuando los CEO o CFO hacen sus llamadas de confirmación, tienen que tener el teléfono directo de la oficina o los números personales de las partes receptoras y estar realmente seguros de que están hablando con las personas adecuadas.

«Hay más dinero en cibercrimen de lo que la mayoría de la gente piensa», dice Henderson de Lastline. «No estás buscando una aguja en un pajar, realmente estás mirando átomos en un pajar».

Contenido relacionado:

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Más suggestions





Enlace a la noticia authentic