Nov/Dic 2015  |  Núm. 16






Anthony Valenti, CFE





Stephen Korinko, CFE

Fraud Magazine

Dominios disfrazados

Esquemas de dominios de transferencia bancaria falsos

Marzo / abril de 2015

Con el uso del esquema del phishing clásico, los estafadores están tomando el control de las cuentas de correo electrónico de empresas para hacer transferencias electrónicas de empleados incautos. Aquí mostramos cómo los estafadores enganchan a las víctimas para caer en sus trampas y cómo se puede proteger a los clientes.

Un nuevo supervisor, Sam, elaboraba reportes para la compañía ABC Tire. Estaba ansioso por demostrar que su empleador había contratado a la persona adecuada. En su primera semana, recibió un correo electrónico del Director General de la compañía con las siguientes instrucciones: "Realice una transferencia por $205,250.29 lo antes posible, con la información de la cuenta proporcionada a continuación. Asigne la operación a servicios profesionales. Envíeme la confirmación cuando esté terminada. Gracias, Gary, director general."

Sam siguió puntualmente las instrucciones de su director y completó la operación. Al día siguiente, cuando el director general se acercó, él sonrió y dijo: "Señor, ya me encargué de la transferencia bancaria solicitada". El director general respondió: "¿Qué transferencia bancaria?". Horrorizado, Sam se dio cuenta de que había sido víctima de un esquema de fraude en Internet. El correo electrónico procedía de un dominio corporativo falso, hábilmente disfrazado.

Este escenario describe un crimen que está ocurriendo en todo tipo de organizaciones internacionales. Nuestra empresa comenzó a recibir informes, en la primavera de 2014, sobre un esquema que engañaba a las empresas con transferencias fraudulentas de fondos para "vendedores", con cuentas bancarias en el extranjero. Empezó, por primera vez, a parecer un ataque de phishing estándar [los cibercriminales utilizan correos electrónicos de "phishing" para obtener información sensible de identificación personal (PII), como nombres de usuarios y contraseñas. Un correo electrónico legítimo pide al destinatario que haga clic en un enlace para iniciar la sesión. La víctima captura su PII en el sitio y el phishing se ha cumplido].

Sin embargo, pronto se encontró que el esquema tenía tres características únicas: 1) Utilizaba un dominio de correo electrónico falso, intencionalmente diseñado para engañar al destinatario, quien pensaba que realmente provenía de su empresa. 2) Las empresas eran las víctimas, más que los bancos, que sufrían la pérdida total de sus fondos. 3) Tenían una alarmante tasa de éxito ̶ señal de que sería una tendencia que iría en aumento ̶ .

En este fraude, el personal de contabilidad de una empresa recibe un correo electrónico de un "alto ejecutivo", quien solicita que se transfieran fondos a una cuenta bancaria en el extranjero ̶ supuestamente para un nuevo proveedor–. Después de haber realizado la transacción, se descubre que el correo electrónico era falso.

Como comenzaron a llegar informes de nuestros clientes, el Servicio Secreto de Estados Unidos confirmó que un esquema de transferencia bancaria estaba utilizando dominios de correo electrónico falsos –exhibiendo los tres rasgos únicos mencionados anteriormente–, y se estaba extendiendo por todo el país.

Según nuestra investigación, los defraudadores:

Inicialmente, los detalles de este esquema y la alta tasa de éxito sugirieron que los nuevos empleados estaban ayudando a los defraudadores. En cada caso que hemos revisado, los estafadores parecían tener información de propiedad exclusiva de los ejecutivos de la compañía, sus asistentes y miembros del personal de contabilidad. Sin embargo, descubrimos que no necesitaban ningún tipo de ayuda del interior. Habían penetrado insidiosamente en los sistemas de clientes de manera encubierta, para leer los correos electrónicos entre ejecutivos y empleados. Por medio de ataques de phishing o de ingeniería social, identificaron a los responsables de transferencias, sus limitaciones de financiamiento, realizaron registros de los gastos de la contabilidad corporativa y de los protocolos bancarios relativos a las solicitudes de transferencias bancarias.

Los estafadores esperaron el momento óptimo para enviar un correo electrónico al miembro del personal de contabilidad, en nombre de un ejecutivo, para solicitar la transferencia bancaria (el mejor momento es cuando la persona que podría ordenar la transferencia está de viaje, puesto que de otra forma el acceso sería difícil o no estaría disponible. Sin embargo, el funcionario acaba por cumplir la solicitud de transferencia basándose en el correo electrónico falso). Por lo general, utilizan un dominio falso ̶ obtenido de un proveedor extranjero– que es muy similar al dominio real de la empresa, por lo que no parece sospechoso para el receptor, el ejecutivo es suplantado y así no se detecta el correo electrónico. Los estafadores hacen que el pago sea inicialmente dirigido a una cuenta bancaria fuera de Estados Unidos, que luego redirige los fondos varias veces hasta que el dinero llega a un banco ubicado en un paraíso fiscal conocido, lo que hace que la recuperación y/o el enjuiciamiento sea difícil, si no imposible. Casos recientes han registrado fondos que terminan en cuentas estadounidenses también.

El éxito de los defraudadores radica en vaciar cuentas en cuestión de horas o días después de las transferencias bancarias, por lo que la única manera de que las empresas víctimas puedan recuperar los fondos es por medio de registrar rápidamente las transferencias o que congelen las cuentas. Una vez que las transferencias están completas, las pérdidas financieras son para las empresas, mientras que los bancos permanecen indemnes.

La prevención es la única protección real: fuertes protocolos de proveedores, controles financieros y la comunicación y formación del personal son esenciales para frustrar las acciones de estos estafadores.

LLEGANDO AL INTERIOR

Para muchas de las empresas víctimas, a menudo, es un misterio cómo los estafadores dirigen sus negocios, cómo identificaron a los responsables de tomar decisiones y, finalmente, cómo obtuvieron el acceso. Sin embargo, las búsquedas simples en los sitios de medios sociales suministran generalmente nombres, cargos y responsabilidades de los empleados y ex empleados de las empresas objeto del fraude –por ejemplo, desde ejecutivos hasta funcionarios de departamentos de contabilidad–.

Cuando los medios de comunicación social son inútiles, los defraudadores expertos en ingeniería social llaman a los empleados para obtener las identidades de las personas que tienen en la mira. Incluso, hemos visto esquemas exitosos en los que los empleados de contabilidad con poca experiencia han dado a conocer información comercial confidencial, es decir, los protocolos de transferencia bancaria, los datos bancarios y las contraseñas, a los estafadores que se hacen pasar por terceros legítimos.

Los autores de los ataques de phishing esperan tan sólo a que un miembro del personal proporcione el acceso que pone en funcionamiento la estafa. Una réplica temprana de este tipo de esquema utilizó un ataque de phishing con un sitio web falso de Google Docs para capturar los inicios de sesión de correo electrónico corporativo de los empleados de las empresas víctimas –generalmente de empleados del departamento de contabilidad (ver Figura 1 abajo -muestra de phishing Google Docs página web: Nota de ingreso, petición y dominio de un supuesto Google)–. Los recientes ataques han aprovechado la capacidad de alojar la página web en la plataforma de hosting de Google, por lo que la URL puede verse, y la página web es una réplica casi perfecta de la página de inicio de sesión de Google.

Cuando el empleado pone sus datos de correo electrónico proporcionados por la compañía en el formulario de la web y hace clic en “Ver documento”, el sitio web de phishing redirecciona al empleado a una página que dice “no se pudo encontrar el documento”. Pero los datos de los empleados han sido enviados a los autores del fraude, que los utilizarán para iniciar sesión en esas cuentas de correo electrónico. Gastar un poco de tiempo en cuentas de correo electrónico de los empleados, permite al defraudador recopilar la información que necesita para ejecutar las solicitudes de transferencias electrónicas fraudulentas.

Armado con la información y el acceso necesario, vigila pacientemente las cuentas de correo electrónico de los ejecutivos y espera a que se dé el tiempo óptimo para realizar el fraude. El estafador, con el control total de la cuenta, puede eliminar permanentemente mensajes de correo electrónico o crear reglas de buzón para redirigir cualquier respuesta de los destinatarios o archivos a la basura. En algunos casos, espera hasta que el ejecutivo esté de viaje, porque si no le resultará difícil ejecutar su plan. Al parecer, lo hace para frustrar protocolos bancarios, incluyendo el protocolo de rutina "call-back" que requiere la autorización verbal del ejecutivo que tiene la responsabilidad final de realizar la transferencia de fondos.

Nuestra empresa investigó dos casos en los que los estafadores tenían aparente control de los sistemas y conocimiento de los protocolos de comunicación de los ejecutivos, para intentar llevar a cabo las estafas. En un caso, un cliente informó que el banco había llamado al ejecutivo mientras él estaba de viaje, y dejó un mensaje de voz que solicitaba la autorización para realizar la transferencia de fondos. Los estafadores tenían acceso al sistema de mensajería de voz del ejecutivo e interceptaron el mensaje. Uno de los defraudadores suplantó al ejecutivo y, posteriormente, escribió un correo electrónico desde el buzón de correo del ejecutivo para acusar de recibo del mensaje de voz. El estafador, bajo la apariencia del ejecutivo, informó al representante del banco que no podía devolver la llamada, pero confirmó las instrucciones de la transferencia que realizó diligentemente. Otro cliente informó de un intento similar que no tuvo éxito, porque un empleado siguió el control interno.

EJECUCIÓN DEL FRAUDE

Independientemente de cómo los defraudadores obtienen acceso a los sistemas de la empresa, siempre utilizan un dominio falso –típicamente uno que han comprado en Nueva Zelanda o en la India. Debido a que los estafadores adquieren el dominio a través de proveedores en el exterior, es muy poco probable conocer datos particulares o realizar una aplicación de la ley en Estados Unidos para identificar al estafador. En primer lugar, la investigación de los vendedores puede tener un costo prohibitivo. En segundo lugar, debido a las leyes de privacidad de los extranjeros, los vendedores podrían no tener que verificar si el comprador es una persona real o una entidad, y no hay garantía de que el tribunal extranjero reconozca los procesos civiles o penales de Estados Unidos para exigir la identidad del comprador del dominio.

Los estafadores crean dominios casi idénticos a los dominios reales de las empresas que son objeto del fraude. En el ejemplo de la compañía ABC Tire, el diseño para el dominio falso podría tener, por ejemplo, una "i" de más en la palabra "Tire" (JSmith@ABCTiire.com; en lugar de JSmith@ABCTire.com). Normalmente, si un defraudador ejecuta con cuidado el envío del correo electrónico, la víctima no podrá notar que se trata de un dominio falso.

En todos los diferentes informes, se examinaron los correos electrónicos que solicitaron transferencias fraudulentas de fondos, en ellos se había utilizado un formato similar, sencillo y con un lenguaje especial, diseñado para engañar al destinatario del correo electrónico. La Figura 2 (de abajo) ofrece cinco ejemplos reales de correos electrónicos utilizados en fraudes, con intentos frustrados o exitosos utilizando dominios falsos.

Los mensajes de correo electrónico utilizan el lenguaje urgente del ejecutivo autorizado, junto con códigos de gastos específicos y familiares ("Misceláneos" o "Servicios Profesionales"), que ejercen presión sobre los empleados para acelerar la transferencia bancaria. Aunque parece difícil de creer, los empleados de varias empresas realizaron transferencias bancarias a proveedores nuevos, a quienes por primera vez se les hacía una transferencia, que es, sin duda, la bandera roja más obvia con respecto a este tipo de estafa. El caso es el siguiente: el empleado transfiere fondos por primera vez a una cuenta en el extranjero –la primera para la empresa víctima– de un nuevo proveedor. El trabajador no reconoció dos banderas rojas importantes: un nuevo proveedor y una primera transferencia internacional de fondos de la empresa.

RETIRO DE DINERO

Otro aspecto característico de este esquema es que los estafadores no necesitan información bancaria de la compañía para ejecutarlo. Si los estafadores tienen éxito, obtendrán la cuenta de banco de la empresa y la información del banco receptor, lo cual posiblemente llevará a más robos.

Los estafadores abrirán cuentas bancarias con pequeños depósitos, de siete a diez días, antes de llevar a cabo los intentos de fraude. En la mayoría casos de este esquema, los estafadores dejan instrucciones a los bancos receptores para transferir los fondos a cuentas internacionales, en países que no tienen un tratado de extradición con Estados Unidos.

Recientemente, los defraudadores han dirigido los fondos a cuentas de bancos en Estados Unidos. En un caso, el estafador transfirió fondos de una víctima extranjera (Canadá) a un banco de Miami. Pidió al banco que transfiriera una parte sustancial de los fondos depositados, en una cuenta personal en el mismo banco, y luego retiró $50,000 en efectivo. Cabe destacar que los funcionarios del banco no sospecharon del cliente, quien a los pocos días de la apertura de una cuenta, con un depósito de $50 en efectivo, se retiró con 50,000 dólares en divisas (el uso por parte de los defraudadores de un banco de Estados Unidos sugiere que en algunas réplicas de este fraude se utilizan prestanombres para abrir y vaciar cuentas. Se trata así de una transformación significativa y menos sofisticada de la estafa original).

Otro ejemplo ocurrido en Estados Unidos, el estafador pide a la entidad víctima transferir fondos a la cuenta de un agente de yates, de quien el estafador planeaba comprar un yate pequeño. Sin embargo, la empresa víctima comienza a sospechar de la solicitud de transferencia bancaria antes de su autorización.

Los estafadores que utilizan los bancos estadounidenses y los intermediarios aumentan potencialmente el riesgo de ser atrapados, aunque por ese medio pueden acceder a los fondos más rápidamente. Además, a diferencia de otros esquemas de fraude (cheques falsos, fraude de tarjetas de crédito, robo de identidad), en los que los bancos normalmente incurren en pérdidas financieras, los estafadores en este esquema han concluido que los bancos son muy reacios a cuestionar las transacciones en las que no tienen exposición a pérdidas.

¿QUÉ PUEDEN HACER LAS VÍCTIMAS?

Una vez que la transferencia se ha completado, es casi imposible revertirla si el fraude no se detecta de inmediato. Y debido a que el banco no sufre ninguna pérdida, siempre y cuando siga los procedimientos adecuados, no congela una cuenta ni devuelve los fondos a menos que sea notificado del fraude. La única esperanza para la recuperación de los fondos es una respuesta rápida. Una empresa víctima debe reaccionar notificando esta situación al departamento de fraudes de su banco, y debe solicitar el retiro inmediato de la transferencia bancaria o la congelación de las cuentas con saldos. Los protocolos del banco permiten la congelación de cuentas donde se han depositado fondos de los que se sospecha provienen de actividades fraudulentas.

La compañía de seguros de la empresa víctima puede presentar denuncias ante la policía local y federal, el FBI y/o el Servicio Secreto, que se deben hacer de manera independiente. Como investigadores, también asesoramos a las empresas para que revisen las transferencias anteriores y puedan detectar otras transferencias fraudulentas.

PROTEGERSE Y PROTEGER A SUS CLIENTES

Los estafadores suelen elegir en promedio a las empresas de gran tamaño, ya que habitualmente transfieren cientos de miles de dólares a terceros que no son conocidos por sus empleados de contabilidad. Sin embargo, las empresas más pequeñas no son inmunes, una pérdida significativa puede afectar severamente su capacidad para continuar realizando operaciones.

El primer paso para la prevención es revisar los protocolos de transferencia bancaria, tanto internamente como con el banco. Las empresas deben insistir en que los bancos cuenten con protocolos de comunicación por intermediarios y adherirse a ellos sin importar lo difícil que pueda ser llegar a los funcionarios designados.

Internamente, las empresas deben revisar sus controles relativos a los pagos y transferencias bancarias, y considerar un mayor nivel de autorización de los desembolsos a proveedores de primera vez. Por ejemplo, designar un funcionario que "posea" cada proveedor y exigir que los miembros del personal de contabilidad se pongan en contacto con el funcionario correspondiente antes de transferir los fondos.

Las empresas también se tienen que armar contra ataques de phishing e ingeniería social. La mejor defensa es la educación y la formación para ayudar a los empleados a reconocer estas técnicas.

Las empresas que utilizan Google Docs o Gmail deberían permitir la verificación de 2 pasos de Google, también conocida como la autenticación de dos factores, para evitar que una parte externa de la sesión en Google quede sin requerimiento de autentificación. Ahora bien, aunque no se ha registrado un ataque exitoso con el uso del código de inicio de sesión en dos pasos para Google, los estafadores siguen cambiando sus tácticas al tiempo que evolucionan los sistemas de defensa.

Una barrera más alta para evitar el acceso no autorizado a Google Apps es el uso de un tercer proveedor de SSO (Single Sign-On) o SAML (seguridad afirmación de lenguaje de marcas), como Ping de Identidad y Centrify. Estos servicios permiten un sistema de acceso mucho más fuerte en aplicaciones de Google, ya que restringen la entrada de datos basados en la ubicación, dispositivo y fichas. También permiten la opción de personalizar el acceso al portal, lo que hace difícil para un atacante el anticipar y simular la página con una web falsa para realizar el phishing o el robo de identidad.

Nadie está seguro. Los estafadores han conseguido defraudar con éxito a todo tipo de empresas. Cuanto más éxito tengan, será más probable que el esquema se utilice con más frecuencia. Revise sus protocolos de proveedores, controles financieros y sus políticas de cumplimiento. Lo más importante es entrenar con regularidad a sus empleados, que les muestre cómo reconocer las banderas rojas y cuestionar las solicitudes sospechosas. Un empleado que siente que algo está mal, generalmente está en lo correcto.

Anthony Valenti, CFE, CAMS, es director general de Stroz Friedberg, LLC, especialista en la investigación, inteligencia y servicios de riesgo.

Stephen Korinko, CFE, CÁMARAS, CPP, es vicepresidente de Stroz Friedberg, LLC.

Los autores desean agradecer a Daniel Blank, examinador forense digital que trabaja en Stroz Friedberg.

 

Valenti, Anthony, CFE, CAMS, Stephen Korinko, CFE, CAMS, CPP. (2015). Fake domain wire-transfer schemes, Fraud Magazine, March/April, Austin: Association of Certified Fraud Examiners.



Reporte a las Naciones 2014

©2015 ACFE-Capítulo México, A.C., Derechos Reservados.
Aviso de Privacidad
Asociación de Examinadores de Fraude Certificados Capítulo México
Tel. 5207-7557, 5536-0104 | seminario@acfe-mexico.com.mx