Clicky

Los estafadores de correo electrónico de negocios se especializan

Estafadores marítimos

GOLD GALLEON: Un grupo nigeriano de ciberdelincuentes saquea la industria del transporte marítimo

Un grupo de estafadores de business email compromise (BEC) ha centrado sus esfuerzos en la industria del transporte marítimo mundial, comprometiendo las cuentas de correo electrónico y tratando de engañar a los objetivos para que entreguen sumas considerables a las cuentas bancarias establecidas por el grupo.

Investigadores de Secureworks® han estado siguiendo las actividades del grupo durante bastante tiempo y han estado alertando sobre los objetivos. Estiman que entre junio de 2017 y enero de 2018, los estafadores intentaron robar un mínimo de 3.9 millones de dólares estadounidenses a empresas de transporte marítimo y sus clientes en Corea del Sur, Japón, Singapur, Filipinas, Noruega, EE. UU., Egipto, Arabia Saudita y Colombia.

Objetivos preferidos

"Las empresas involucradas en las industrias navieras generalmente están dispersas globalmente y operan en diferentes husos horarios, lo que significa que a menudo dependen completamente del correo electrónico para realizar transacciones comerciales. Algunas empresas de transporte marítimo son por lo tanto susceptibles a los métodos de fraude BEC", señalaron los investigadores.
Entre los objetivos se encuentran compañías que brindan servicios de administración de barcos, servicios portuarios y efectivo para gestionar los servicios.

proceso de un ataque BEC

Sobre los estafadores

El grupo, denominado Gold Galleon por los investigadores:

• Decide a quién enviar correos electrónicos de phishing después de comprar listas de correo electrónico de empresas objetivo o robar información de contacto disponible públicamente del sitio web de los objetivos.
• Adquiere dominios y registra cuentas de correo electrónico que se parecen mucho al nombre de la compañía del comprador o del vendedor y a las cuentas de correo electrónico de los empleados.
• Utiliza correos electrónicos spear-phishing para entregar keylogging y malware que roba contraseñas a empleados de la compañía.
• Adquiere keyloggers, RATs y crypters de los mercados de piratería en línea, y los prueba en sus propios sistemas y rastrea las tasas de detección a través de escáneres de virus en línea.

Una vez que se ve comprometido el sistema de un objetivo, los estafadores usan credenciales robadas para acceder a la cuenta de correo electrónico comercial, cosechan contactos de la libreta de direcciones y usan el acceso para tener una idea de los negocios de la empresa. Y, cuando se presenta la oportunidad correcta, cambian los detalles de pago en las facturas enviadas por correo electrónico y esperan que el comprador no se dé cuenta y envíe el pago.

Después de rastrear las actividades del grupo por un tiempo, los investigadores creen que el grupo tiene su base en Nigeria: utilizan frases Pidgin nigerianas mientras se comunican a través de mensajes instantáneos, se conectan regularmente a Internet a través de la infraestructura de Nigeria y usan frases, nombres de usuario y contraseñas vinculadas a un subconjunto criminal de un conocido movimiento nigeriano de derechos humanos y justicia social.

Gold Galleon BEC scammers

"El grupo parece tener una estructura organizacional flexible, con actividades coordinadas por varias personas experimentadas. Las tareas se asignan a individuos en el grupo; por ejemplo, un miembro del grupo puede tener la responsabilidad de ofuscar las RAT del grupo con crypters, mientras que otros tienen la tarea de controlar el correo electrónico de las víctimas para las transacciones comerciales que están a punto de facturarse", explicaron.

"Algunos miembros expertos a menudo manejan la compra de malware, criptas e infraestructura, y con frecuencia experimentan con herramientas alternativas. Los investigadores de la Counter Threat Unit™ (CTU) de Secureworks® también observaron a los miembros senior entrenando y asesorando a miembros del grupo con poca experiencia y sirviendo de enlace con proveedores externos de servicios criminales relacionados (por ejemplo, proveedores de cuentas de mulas para transferir fondos robados y vendedores de criptas).

Mitigar el riesgo

Lo bueno es saber que muchos de los intentos de fraude que los investigadores advirtieron sobre los objetivos ya estaban marcados como sospechosos por los propios objetivos.

Los investigadores ofrecen el consejo habitual a las empresas que buscan mitigar la amenaza BEC: utilizar la autenticación de dos factores para correo electrónico corporativo y personal, verificar reglas de redireccionamiento de correo electrónico sospechosas, revisar cuidadosamente la información de transferencias electrónicas en las solicitudes de correo electrónico de los proveedores, confirmar las instrucciones de transferencias electrónicas de forma independiente (pero no por correo electrónico o cualquier información de contacto contenida en los correos electrónicos) y desconfiar de los cambios en las prácticas comerciales típicas y la actividad de transferencia bancaria designada.

También creen que es una buena idea crear reglas de detección que marcan los correos electrónicos con extensiones que son similares a las direcciones de correo electrónico de la empresa y han proporcionado una herramienta gratuita que puede detectar ediciones sospechosas a los archivos de factura en PDF.

Jesus_Caceres