Durante más de un año, el IC3 ha pedido a las empresas estar alerta ante estafas donde se solicitan pagos de facturas y que han registrado un incremento notable.

El centro de quejas de crímenes en Internet (IC3 por sus siglas en inglés) advirtió a las empresas para que estén alerta ante los engaños que han incrementado recientemente, se basan en el pago de facturas de empresas o proveedores bien establecidos, las facturas parecen ser auténticas pero son enviadas vía email por defraudadores.

De acuerdo al FBI, la estafa es una variante del ataque Man-in-the-Middle (hombre en medio), que en esta ocasión involucra a directores de TI, directores financieros o contralores que reciben a través del correo corporativo supuestos mensajes de proveedores que solicitan una transferencia bancaria a una cuenta específica.

En esta técnica conocida como man-in-the-email (hombre en el correo), las direcciones de correo del remitente son falsificadas agregando, quitando o cambiando sutilmente caracteres, lo que hace más difícil la identificación del email falso. El ataque no es identificado hasta que el departamento antifraudes de la compañía detecta la amenaza y alerta de ello a los miembros de la corporación, o bien, hasta que los ejecutivos de las empresas hablan entre sí para verificar que la transferencia fue hecha.

El IC3 declaró que recientemente han recibido muchas quejas relacionadas con compañías que han sido alertadas por sus proveedores sobre correos electrónicos falsificados que utilizaban el nombre de la empresa víctima para solicitar cotizaciones o pedidos de suministros y mercancías.

Estos correos son enviados a múltiples proveedores al mismo tiempo. Las empresas víctimas podrían descubrir el ataque ya que a menudo la comunicación con sus proveedores es constante y las peticiones falsas pueden ser detectadas fácilmente, debido a que es un vector de ataque relativamente nuevo la pérdida monetaria aún no es muy grande.

Con base en las quejas se ha llegado a la conclusión que el ataque está basado en "la estafa nigeriana¹" , la evidencia proporcionada con las quejas brinda poca información sobre los autores, sin embargo, dicha evidencia si presenta nombres, teléfonos, direcciones IP y cuentas bancarias reportadas anteriormente y que están relacionadas a las estafas nigerianas tradicionales.

De acuerdo al FBI, en 2013 al menos tres empresas de Seattle fueron víctimas de este ataque y se les hizo creer que estaban enviando dinero a un proveedor establecido en China. En realidad los atacantes interceptaron los correos legítimos entre la empresa de compra y el proveedor y suplantaron a ambas partes de la comunicación. Los criminales enviaron correos fraudulentos dirigidos al comprador donde se solicitaba realizar los pagos a cuentas bancarias específicas por cuestiones de auditoría, sin embargo, las cuentas pertenecían a los defraudadores y no al proveedor.

La pérdida total calculada para las tres empresas asciende a 1,650,000 dólares. La pérdida promedio entre las víctimas de este ataque es de 55,000 dólares aproximadamente.

¹ La estafa nigeriana es un fraude que funciona con base en correo electrónico no solicitado, consiste en ilusionar a la víctima indicándole que es ganador de una fortuna o una cantidad importante de dinero a cambio de una suma representativa que debe ser depositada previamente para poder acceder al supuesto premio.