El compromís de correu electrònic empresarial (BEC): què és i com posar-hi solució

Les pèrdues econòmiques per aquest tipus d’atac d’enginyeria social creixen cada any arreu del món.

El ‘Business Email Compromise‘ o compromís de correu electrònic (BEC) és una pràctica d’enginyeria social que requereix el control de la bústia de correu de la persona a suplantar i un coneixement a fons de l’organització que es vol atacar, des de la seva forma d’escriure correus electrònics fins a les seves relacions professionals.

En l’actualitat, es parla de tres variants d’atac BEC:

1. El frau del CEO: consisteix en suplantar una persona de poder dins l’empresa o negoci (sovint el conseller delegat) amb l’objectiu de demanar a un treballador amb funcions financeres que faci una transferència econòmica.

2. El frau del proveïdor: es compromet el compte de correu electrònic d’un proveïdor per informar d’un canvi en el número de compte bancari on dirigir els futurs pagaments.

3. El frau del treballador o empleat: és la variant més recent i consisteix en suplantar un treballador per sol·licitar al departament de recursos humans un canvi en el número de compte on transferir la nòmina.


Segons l’FBI, i com recull l’Informe de tendències de ciberseguretat. Anual 2019 de l’Agència de Ciberseguretat de Catalunya, les pèrdues econòmiques per atacs de BEC creixen cada any als Estats Units, una referència, la del país americà, que pot servir per a tot el món. Si l’any 2016 es van denunciar als EUA fraus de BEC per valor de 360 milions de dòlars, el 2019 aquesta xifra arribava als 1.770 milions de dòlars (+391%). A més, segons un estudi de l’empresa de seguretat empresarial Proofpoint, totes les empreses d’Espanya consultades per fer l’estudi ha rebut en algun moment atacs de BEC.


Amb la crisi de la covid-19, els atacs de BEC encara estan creixent més. Els ciberdelinqüents intenten treure profit del distanciament entre treballadors i de les dificultats per a la comunicació causades per les mesures de confinament i el teletreball. En alguns casos s’ha compromès el correu electrònic d’un proveïdor de material sanitari i, davant la urgència de la necessitat de mascaretes i gel hidroalcohòlic, s’ha tramitat una factura falsa. En altres casos, s’ha compromès un proveïdor habitual i s’ha demanat un canvi de compte, amb l’excusa que amb la crisi global el compte habitual ha deixat de ser operatiu.


Com pots fer front al BEC?

  • Davant d’aquesta amenaça tan estesa, es fa imprescindible la formació i la informació dins l’empresa. Si tot l’equip de treball i l’equip directiu coneixen l’existència d’aquesta estafa i com es produeix, aniran molt més alerta a l’hora de gestionar els seus correus, de respondre a determinades peticions, en definitiva, aprendran a tenir una mirada crítica sobre els missatges de correu electrònic que rebin i que enviïn i serà molt més probable que confirmin amb el remitent i per altres canals qüestions com pagaments o transferències a fer, canvis de número de compte, etc.
  • Totes les organitzacions haurien d’establir una política de ciberseguretat, revisar-la regularment per detectar buits, i assegurar-se que els empleats la segueixin. Un punt que hauria d’incloure aquesta política de ciberseguretat hauria de ser que, en cas de comptar amb un nou proveïdor, o fer una transferència a un compte que no s’havia fet mai abans, es requereixin unes validacions especials, com també per a qualsevol sol·licitud d’un canvi de número de compte. La política de ciberseguretat de l’empresa també pot introduir rutines com la no utilització d’unitats USB en els equips de feina, no obrir fitxers adjunts ni fer clics a enllaços procedents d’un correu de remitent desconegut o poc clar, la gestió de contrasenyes, la política sobre accés a la connexió wifi…
  • L’empresa també hauria d’identificar els usuaris que tenen un risc més alt de ser suplantats per cometre un atac de BEC. Per exemple, executius, treballadors de recursos humans, responsables de comptabilitat, informàtics… És convenient que l’empresa imposi més controls en aquestes àrees d’alt risc.
  • Configura les transferències bancàries de l’empresa de manera que es requereixi més d’una autorització per fer-la efectiva, que no n’hi hagi prou amb una confirmació de correu electrònic. Per exemple, que s’hagi de rebre una clau al telèfon mòbil, o fins i tot que a partir d’una determinada quantia s’hagin de dur a terme presencialment.

Repassa i posa en pràctica a l’empresa totes les recomanacions que detallem per a protegir-se del programari maliciós.


Com actuar en cas d’atac de BEC?

Si malgrat totes les precaucions, l’empresa s’ha vist perjudicada per un cas d’enginyeria social de BEC, cal seguir les següents indicacions:

  • Posa’t en contacte amb l’entitat financera el més aviat possible. Informa-la de la transferència bancària fraudulenta i pregunta-li si és possible recuperar-la. Posa’t en contacte amb el departament de ciberseguretat del banc, informa’l sobre la situació i demana la seva intervenció. És possible que l’entitat bancària sigui a temps de contactar amb els seus homòlegs del banc al que s’ha fet la transferència i puguin evitar que es retirin els fons.
  • Posa’t en contacte amb els advocats de l’empresa. T’orientaran en els propers passos, ja que és possible que, per exemple, s’hagi de fer una comunicació als accionistes o a les parts interessades, i és probable que s’hagin de fer notificacions en un determinat període de temps. També orientaran l’empresa a l’hora de denunciar l’inicident.
  • Posa’t en contacte amb els Mossos d’Esquadra. Identifica l’incident com a BEC i dona tots els detalls possibles sobre el frau.
  • Convoca una reunió d’emergència per a informar al consell o a l’equip directiu sobre l’incident, les accions dutes a terme i les que s’emprendran en un futur immediat.
  • Fes que s’analitzi si el correu electrònic d’algun directiu o executiu s’ha vist compromès i que es prenguin accions immediates per recuperar el control d’aquest compte. Que la comprovació es faci a fons, ja que és probable que els ciberdelinqüents no s’hagin conformat amb un sol compte i hi pugui haver diversos comptes compromesos.
  • Posa’t en contacte amb la companyia d’assegurances per saber si l’empresa o negoci estan coberts per a aquest tipus d’atacs.