Este tipo de fraude puede tener un componente tecnológico (keyloggers) y/o un componente de ingeniería social (mensajes de correo apócrifos y llamadas telefónicas, entre otros). Por lo general, su objetivo es engañar a personas que realizan transferencias bancarias con el propósito de desviarlas a la cuenta del atacante.

Debido a que este fraude no utiliza enlaces o archivos adjuntos maliciosos, es capaz de evadir diversos mecanismos de seguridad.

De acuerdo con el FBI, existen 5 esquemas de fraude BEC:

• Facturas falsas: Los atacantes se hacen pasar por proveedores y solicitan transferencias de fondos para pagos a una cuenta apócrifa.
• Fraude de CEO: Los atacantes se hacen pasar por el CEO o por algún ejecutivo de la empresa y envían un correo electrónico a los empleados en finanzas, solicitándoles que transfieran dinero a la cuenta apócrifa.
• Compromiso de la cuenta: En este esquema comprometen la cuenta de correo electrónico de un ejecutivo o empleado, y la utilizan para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. Posteriormente, desvían los pagos a cuentas bancarias fraudulentas.
• Suplantación de identidad de un abogado: Los atacantes fingen ser un abogado o personal de un bufete de abogados, supuestamente a cargo de asuntos cruciales y confidenciales. Normalmente realizan estas solicitudes falsas a través de correo electrónico o vía telefónica, y al finalizar el día hábil.
• Robo de datos: Los empleados de RR.HH. y contabilidad son objeto de ataque con el propósito de obtener información de identificación personal o declaraciones de impuestos de empleados y ejecutivos. Dicha información pueden utilizarla para futuros ataques.

Las principales acciones para mitigar este tipo de fraude son:

• Entrenamiento de concientización sobre Phishing. Enseñar a los empleados a detectar un mensaje de correo apócrifo. Implementar políticas como: nunca realizar transferencias o pagos de facturas sin la previa autorización de diversas personas.
• Autenticación de email. Esta es la parte tecnológica de la mitigación y ayuda a detener spam y malware.
• Pruebas periódicas de Ingeniería Social. En las cuales se simulen ataques de Phishing con el fin de detectar áreas de mejora en las políticas de seguridad.

Referencias:
https://www.trendmicro.com/vinfo/us/security/definition/business-email-compromise-(bec)
https://www.redscan.com/solutions/preventing-phishing-bec-attacks/
https://www.vadesecure.com/en/business-email-compromise-an-old-threat-finds-new-targets/