¿No soy un robot? El creciente uso de la IA en las estafas BEC

Los avances en inteligencia artificial (IA) crean tantas oportunidades como peligros, aunque es importante mantener un sentido de perspectiva. Si bien es importante ser consciente de cómo los actores de amenazas podrían usar la IA para dañar a su organización, también se debe pensar estratégicamente sobre cómo gestionar estos riesgos.

La evolución de las estafas por medio del Compromiso de Correo Electrónico Empresarial (BEC por su sigla en inglés) es un buen ejemplo.

Las estafas mediante phishing y sus variantes han existido durante mucho tiempo. A estas alturas, la mayoría de las personas con una cuenta de correo electrónico sabrán que es muy poco probable que un príncipe exiliado necesite la ayuda de un completo extraño para lavar millones de dólares. Sin embargo, para lo que pueden no estar preparados es para las variantes cada vez más sofisticadas de este tipo de estafa.

WormGPT: ¿Una carnada irresistible o los estafadores siendo estafados?

Descritos como los primos “malvados” de ChatGPT, WormGPT y FraudGPT son versiones de IA generativa no limitados por las restricciones éticas incorporadas en sus homólogos que se han hecho populares. El determinar que tan peligroso es este desarrollo parece depender de su punto de vista.

Algunos expertos en ciberseguridad han encontrado que los mensajes por correo electrónico BEC generados por WormGPT son “inquietantes”, “notablemente persuasivos” y “astutos”. Otros han estado mucho menos impresionados, describiendo sus experiencias con los esfuerzos de WormGPT como “no especialmente convincentes”, “rudimentarios” y “genéricos de forma que debería hacer sonar las alarmas”.

Un aspirante a estafador BEC se quejó en un foro de la Dark Web de que el código de WormGPT “no funciona la mayor parte del tiempo” y no puede generar “cosas simples”. De hecho, ya han surgido sospechas de que FraudGPT y WormGPT son, en sí mismos, estafas.

Asia se convierte en un nuevo objetivo para enfocar los ataques “balleneros”

A diferencia de las formas más crudas de phishing, una estafa BEC a menudo pretende ser de alguien conocido por el destinatario. Este enfoque más específico se llama ‘spear phishing’ (phishing con arpones). La escala de su impacto es difícil de medir – es posible que muchas organizaciones ni siquiera sepan si están siendo un objetivo, ya que una encuesta encontró que un sorprendente 98% de los empleados admiten eliminar correos electrónicos sospechosos sin informarle a sus equipos de Seguridad de TI.

Los operadores multinacionales y aquellos que dependen de las cadenas de suministro internacionales deben ser conscientes de que Asia es un foco emergente de ataques BEC que se enfocan en las cuentas de ejecutivos de alto nivel (también conocidos como “ataques de caza de ballenas”). En Singapur, las estafas BEC exitosas de este tipo defraudaron a 93 víctimas por 41.3 millones de Dólares estadounidenses en tan solo los primeros tres meses de 2022.

En Japón, los objetivos recientes han incluido:

• una gran aerolínea;
• la filial estadounidense de un conglomerado de medios; y
• la filial europea de un fabricante líder de partes para automóviles.

Como resultado, los tres sufrieron pérdidas multimillonarias.

En un caso en Singapur, IBI Group Hellas Single Member Société Anonyme v Saber Holdings Pte Ltd [2023] SGDC 95, el actor de amenazas se hizo pasar por el CEO de “Saber” en WhatsApp y engañó con éxito a un empleado para que hiciera una cuantiosa transferencia de efectivo (aparentemente para una adquisición). El actor de amenazas incluso comprometió la dirección de correo electrónico del CEO para enviar más instrucciones.

El empleado transfirió 700.000 Euros a la cuenta bancaria de una empresa en Hong Kong. “Saber” finalmente pudo recuperar el dinero, aunque al parecer perdió una gran parte debido a los honorarios legales que fueron necesarios para recuperarlo.

El toque personal: más allá de las palabras escritas

WormGPT pretende tener una alta tasa de éxito cuando se trata de eludir los filtros de correo electrónico y los motores antispam a través de la determinación del objetivo y la personalización dirigidas a la organización de la posible víctima. En última instancia, los ataques BEC se basan en convencer con éxito al destinatario para que responda o interactúe con el mensaje de correo electrónico o de otra comunicación. Este nivel de sofisticación y personalización ciertamente ayuda a los atacantes en ese sentido.

Sin embargo, ha surgido una nueva tendencia, quizás más preocupante – la falsificación de la voz por clonación. Si bien la estafa del CEO no es necesariamente nueva, la IA le permite a los atacantes llevar esto al siguiente nivel mediante la clonación. Según los informes, el motor de IA VALL-E de Microsoft necesita tan solo 3 segundos de audio para clonar una voz.

Piense por un segundo cuántas conferencias, seminarios web y otros medios que las organizaciones divulgan públicamente con la presencia del CEO, COO y de otros cargos de alto perfil. Esta es una clara oportunidad para que los atacantes eleven sus estafas como la del ejecutivo en Hong Kong que se vio atrapado en una estafa por falsificación de voz.

Suena familiar

Tras un aumento en el número de quejas sobre BEC relacionadas con el uso de plataformas de reuniones virtuales, el FBI emitió una alerta que señala varias formas en las que los actores de amenazas utilizan reuniones virtuales, seminarios web y herramientas de videoconferencia:

• Estás en silencio: La cuenta de correo electrónico comprometida de un empleador o ejecutivo de alto nivel, por decir algo de un CEO, se utiliza para enviar invitaciones a una reunión virtual. El criminal mostrará una imagen fija del CEO sin audio, alegando que están teniendo problemas con su configuración. Luego usan el chat en la plataforma o un correo electrónico de seguimiento para solicitar a los asistentes que transfieran fondos.
• Te has congelado: Una variación de 'Estás en silencio'. En esta versión de la estafa, el criminal también usa una imagen fija del CEO (tal vez una captura de pantalla generada por IA del CEO capturada a mitad de la oración y con los ojos cerrados, para mayor veracidad), pero usa una voz clonada del CEO para solicitar que aquellos en la llamada sigan adelante con una transferencia de fondos.
• La mosca en la pared: El actor de amenazas se inserta en reuniones virtuales a través de un correo electrónico comprometido, para poder recopilar información sobre las operaciones diarias de una organización o sobre proyectos confidenciales.
• Una delegación de tareas: los correos electrónicos falsificados que pretenden ser del CEO dirán que están extremadamente ocupados / en una reunión / atrapados en el tráfico / enfermos. ¿Podría el destinatario, por favor, con carácter de urgencia, transferir fondos a una cuenta especifica en nombre suyo?

El entrenamiento constante ayudará a cortar muchos intentos de BEC de raíz. También es esencial que se asegure de que se sigan procedimientos sólidos cuando se trata de autorizar grandes transacciones financieras.

Pero la conclusión clave es que su organización necesita preparar a su gente para combatir esta nueva generación de las tácticas BEC multicanal e impulsadas por IA.