La Policía Nacional ha desmantelado una ciberbanda acusada de estafar 4 millones de euros a empresas a través del modus operandi conocido como Business Email Compromise (BEC).
Detenidos 64 por robar 4 millones a empresarios con la ciberestafa BEC
Los equipos de ciberexpertos de la Policía Nacional han desmantelado en nueve ciudades españolas una red de mulas bancarias para la recepción de transferencias ilícitas. Los miembros de la organización estaban en contacto permanente con la matriz situada en Nigeria. Desde este país africano se lanzaban los ataques y se recaudaba el dinero fraudulentamente. El tipo de ciberataque empleado era el phishing. Los objetivos eran los empleados de los departamentos de administración y los directores ejecutivos de empresas. Los detenidos han sido 64 personas repartidas por todo el país: 28 en Palma de Mallorca, 3 en Ibiza, 4 en Madrid, 17 en Valencia, 5 en Segovia, 2 en Aranda del Duero, 1 en San Sebastián , 2 en Zaragoza y 2 en Tenerife.
¿Cómo funciona el BEC (Business Email Compromise)?
La tipología delictiva utilizada por la red criminal se conoce como Business Email Compromise, una modalidad sofisticada del Business Process Compromise. Mediante ella, los ciberdelincuentes se centraban en obtener información confidencial de las empresas, su cartera de clientes o transacciones económicas pendientes de abono. Para lograr llevar a cabo la estafa usaban técnicas de ingeniería social para conseguir los correos corporativos. Una vez obtenida esta información, los cibercriminales usurpaban la identidad de estas empresas ante los clientes y entidades financieras con que mantenían acuerdos comerciales.
La técnica era un phishing altamente personalizado
A continuación emprendían una campaña de phishing altamente personalizada, logrando el pago de facturas y transacciones de grandes sumas de dinero a cuentas bancarias que la organización tenía bajo su control.
La investigación se llevó a cabo gracias a la denuncia de una empresa española a la cual habían estafado 320.000 dólares por una transferencia no recibida correspondiente a los servicios prestados a una empresa de la República Democrática del Congo. La transferencia fue realizada por parte de la empresa congoleña, sin embargo, el dinero se destinó a la cuenta de un tercero.
Archivado en: