Los phishers se aprovechan de estos factores y más en sus ataques, y los correos electrónicos de phishing pueden presentarse de diversas formas. Si bien algunos ataques de phishing tienen un alcance amplio, otros (como los ataques de phishing) se adaptan mucho a su objetivo. En algunos casos, un atacante se hará pasar por una figura de autoridad u otra parte de confianza para lograr su objetivo.
Los esquemas de phishing tampoco se limitan al correo electrónico. Los atacantes pueden aprovechar las plataformas de colaboración corporativa y las aplicaciones de comunicaciones en dispositivos móviles para realizar sus ataques.
Los cinco ataques de phishing más costosos hasta la fecha
Los cinco ataques descritos aquí requirieron poca sofisticación en nombre de los atacantes, pero les permitieron robar decenas de millones de dólares de una organización.
1. Facebook y Google
Entre 2013 y 2015, Facebook y Google fueron engañados con 100 millones de dólares debido a una extensa campaña de phishing. El phisher aprovechó el hecho de que ambas empresas utilizaban Quantum, una empresa con sede en Taiwán, como proveedor. El atacante envió una serie de facturas falsas a la empresa que se hacía pasar por Quantum, que tanto Facebook como Google pagaron.
Finalmente, se descubrió la estafa y Facebook y Google tomaron medidas a través del sistema legal estadounidense. El atacante fue arrestado y extraditado de Lituania y, como resultado de los procedimientos legales, Facebook y Google pudieron recuperar 49,7 millones de dólares de los 100 millones robados de ellos.
2. Banco Crelan
Crelan Bank, en Bélgica, fue víctima de una estafa de Business Email Compromise (BEC) que le costó a la empresa aproximadamente 75,8 millones de dólares. Este tipo de ataque implica que el supresor comprometa la cuenta de un ejecutivo de alto nivel dentro de una empresa e instruya a sus empleados a transferir dinero a una cuenta controlada por el atacante. El ataque de phishing del Crelan Bank fue descubierto durante una auditoría interna y la organización pudo absorber la pérdida ya que tenía suficientes reservas internas.
3. FACC
FACC, un fabricante austriaco de piezas aeroespaciales, también perdió una cantidad significativa de dinero en una estafa de BEC. En 2016, la organización anunció el ataque y reveló que un supero que se hacía pasar por el CEO de la compañía instruyó a un empleado del departamento de contabilidad para enviar $61 millones a una cuenta bancaria controlada por el atacante.
Este caso fue inusual porque la organización decidió despedir y emprender acciones legales contra su CEO y CFO. La compañía solicitó $11 millones en daños a los dos ejecutivos debido a que no implementaron adecuadamente los controles de seguridad y la supervisión interna que podrían haber evitado el ataque. Esta demanda demostró el riesgo personal para los ejecutivos de la organización de no realizar la “diligencia debida” con respecto a la ciberseguridad.
4. Laboratorios Upsher-Smith
En 2014, un ataque BEC contra una compañía farmacéutica de Minnesota resultó en la pérdida de más de 39 millones de dólares para los atacantes. El phisher se hizo pasar por el director general de Upcher-Smith Laboratories y envió correos electrónicos al coordinador de cuentas por pagar de la organización con instrucciones para enviar ciertas transferencias electrónicas y seguir las instrucciones de un “abogado” que trabaja con los atacantes.
El ataque fue descubierto a mitad de camino, lo que permitió a la compañía retirar una de las nueve transferencias electrónicas enviadas. Esto redujo el costo para la compañía de $50 millones a $39 millones. La compañía decidió demandar a su banco por hacer las transferencias a pesar de las numerosas “banderas rojas” perdidas.
5. Ubiquiti rojo
En 2015, Ubiquiti red, una empresa de redes informáticas con sede en EE. UU., fue víctima de un ataque BEC que le costó a la empresa 46,7 millones de dólares (de los cuales esperaban recuperar al menos 15 millones de dólares). El atacante se hizo pasar por el director ejecutivo y abogado de la compañía e instruyó al director de contabilidad de la compañía para que hiciera una serie de transferencias para cerrar una adquisición secreta. En el transcurso de 17 días, la compañía realizó 14 transferencias electrónicas a cuentas en Rusia, Hungría, China y Polonia.
El incidente solo llamó la atención de Ubiquiti cuando el FBI le notificó que la cuenta bancaria de la compañía en Hong Kong podría haber sido víctima de fraude. Esto permitió a la compañía detener cualquier transferencia futura e intentar recuperar la mayor cantidad posible de los $46.7 millones robados (lo que representó aproximadamente el 10% de la posición de caja de la compañía).
La importancia de una protección antiphishing sólida
Los costosos ataques de phishing descritos aquí no requirieron mucha sofisticación por parte del atacante. Una pequeña investigación sobre una compañía reveló la identidad de individuos clave (CEO, CFO, etc.) y proveedores. Los atacantes usaron esta información para crear correos electrónicos creíbles que engañaron a sus objetivos para que enviaran dinero a cuentas bancarias controladas por el atacante.
Si bien algunos ataques de phishing están diseñados para generar malware, lo que hace que una solución de seguridad de terminales sea esencial, no siempre es así. Todos los ataques descritos aquí no contenían contenido malicioso que podría ser detectado por un antivirus.
Para protegerse contra estos ataques, una organización necesita una solución antiphishing capaz de detectar ataques BEC mediante el análisis del texto del cuerpo de un correo electrónico. Para obtener más información sobre las soluciones de seguridad de correo electrónico de Check Point y cómo pueden proteger a su organización contra la amenaza de phishing, contáctenos. Luego, solicite una demostración para ver la solución en acción.
Comentarios