Seguridad | Fraude operativo

La tarde en que nuestra bandeja de entrada se volvió loca

(O: Cuando mil correos electrónicos son la parte menos interesante de la historia)

Era una tarde completamente normal. Estaba viendo la televisión. Sin resolver ningún problema. Sin apagar incendios. Simplemente sentado allí, disfrutando de ese raro momento en el que no ocurría nada urgente. Entonces sonó el correo electrónico. Un pitido. Luego otro. En cuestión de minutos, se convirtió en un ataque incesante que elevó la presión arterial. Para los profesionales de la seguridad, este sonido se conoce como “Oh, Dios mío, ahora no”.

El ataque: bombardeo de suscripciones

Mil correos electrónicos y un tipo de pánico muy específico

No eran correos electrónicos no deseados.. Sin basura evidente. Sin asuntos engañosos. Estos eran mensajes legítimos: confirmaciones de cuentas, registros de proveedores, avisos de “verifique su correo electrónico”. Empresas de todo el mundo. Al parecer, de repente nos habíamos convertido en las personas más populares de Internet.

Durante las siguientes dos horas, recibimos cerca de mil mensajes en nuestro buzón de correo electrónico. Primero viene la confusión. Luego, la preocupación. Después, un tipo muy específico de pánico que se apodera de ti cuando te das cuenta de que no es algo aleatorio ni accidental.

Desde el punto de vista empresarial, el impacto fue inmediato. La bandeja de entrada se volvió inutilizable. Los correos electrónicos legítimos de los clientes, las solicitudes urgentes, los problemas operativos reales... todo quedaba sepultado bajo el ruido. Era imposible separar la información relevante del correo basura en tiempo real. Intentar leer algo era como buscar un grano de arena específico en la playa.

Lo único racional que se me ocurrió hacer fue describir lo que estaba sucediendo y preguntarle a ChatGPT cómo se veía eso. La respuesta llegó rápidamente: bombardeo de suscripciones.

Alguien había registrado deliberadamente nuestra dirección de correo electrónico en cientos de servicios legítimos que envían correos electrónicos de verificación.
La inundación no era el objetivo. La inundación era el portada. (Una forma sorprendentemente elaborada de distracción digital).

Esta táctica se utiliza a menudo para ocultar algo más grave. — fraude financiero, uso indebido de cuentas, transacciones no autorizadas — mientras la víctima está ocupada lidiando con el problema de su bandeja de entrada.

El consejo era sencillo: Empezar a revisar las cuentas. En la práctica, eso es más fácil decirlo que hacerlo. Mientras cambiábamos contraseñas, creábamos filtros y limpiábamos la bandeja de entrada, persistía la incómoda sensación de que ya había pasado algo, pero aún no lo habíamos descubierto.

La revelación: la caja imposible de entregar

El daño que no se encontró en la bandeja de entrada (porque estábamos demasiado ocupados borrando las confirmaciones de cuentas)

Finalmente, la avalancha de correos electrónicos cesó. Lo que no se detuvo fue la limpieza. Incluso después de que terminara la explosión principal, cientos de sistemas siguieron enviando seguimientos. Era como limpiar el confeti semanas después de que el desfile hubiera abandonado la ciudad.

Pasaron los días. No surgió nada evidente. Entonces, por casualidad, sonó el teléfono. A Conductor de FedEx en el Panhandle de Florida Estaba tratando de entregar un paquete que se había enviado utilizando nuestra cuenta de FedEx. El problema era que el destino era un complejo de apartamentos y la etiqueta no incluía el número de apartamento.

Leyó el nombre y la dirección del destinatario. Nada coincidía. No había ningún pedido. No había ninguna entrada. No había ningún pago. No había ningún registro de este envío en nuestro sistema.

Porque somos una alto volumen servicio de apostilla urgente, esto no nos pareció alarmante de inmediato. Enviamos documentos a toda Florida. A veces surgen problemas con las direcciones. Nuestra primera suposición fue sencilla: se trataba de uno de nuestros clientes. Un detalle menor en el gran esquema de las cosas, pero los detalles son donde reside el fraude.

Aún pensando que se trataba de papeles, le pregunté si era un sobre.

Hizo una pausa.

“No”, respondió ella. “Es una caja. Pesa varios kilos”.”

Fue entonces cuando todo cobró sentido. Lo que vi en nuestra cuenta de FedEx lo explicaba todo:

Durante el ataque por correo electrónico, mientras nuestra bandeja de entrada se veía intencionadamente saturada, alguien accedió a nuestra cuenta de FedEx y generó miles de dólares en envíos fraudulentos, todo ello cargado directamente a nuestra tarjeta de crédito.

La inundación de la bandeja de entrada había cumplido exactamente su objetivo: detección de retrasos lo suficiente como para que se produjeran daños reales. Ganaron tiempo enfadándonos con nuestro buzón de correo.

Las secuelas y el descubrimiento

Burocracia, contradicciones y la caja de hierbas inesperadas más cara del mundo

Si crees que denunciar un fraude a FedEx es un proceso sencillo, te aseguro que no lo es. Lo que siguió fueron semanas de incompetencia burocrática: un recorrido vertiginoso por departamentos que se contradecían activamente entre sí.

Instrucciones contradictorias de diferentes representantes.
Promesas de devolución de llamada que nunca se cumplieron.
Números de casos que no llegaron a ninguna parte.

Finalmente, la caja regresó. — El envío no entregable procedente de Panhandle. Tras semanas de caos, por fin íbamos a ver lo que se había enviado a otra persona por nuestra cuenta.

Era marihuana envasada al vacío procedente de California. Varios kilos. Naturalmente.

A FedEx no le importó. Tampoco a la policía. Fuimos nosotros quienes llamamos a las autoridades, tratando de sacar varios kilos de drogas ilegales de nuestra oficina de la manera más rápida y responsable posible. Ningún agente se presentó. Nadie hizo un seguimiento. Nadie parecía particularmente interesado. Después de días de estar atrapados con una responsabilidad no deseada e inesperada, la caja finalmente terminó su viaje en un contenedor de basura.

Semanas más tarde, tras una escalada interminable, nuestra cuenta de FedEx finalmente se resolvió. Las operaciones se normalizaron. La hemorragia se detuvo. Pero la lección quedó grabada.

La verdadera conclusión

El bombardeo de suscripciones no es el ataque, es el camuflaje.

El bombardeo de suscripciones es casi nunca el objetivo final. Es un camuflaje. Los atacantes suelen tener ya algo: no están tratando de entrar en tus sistemas, ya han encontrado la manera de hacerlo.

Credenciales reutilizadas o filtradas.
Un número de cuenta expuesto.
Acceso a un portal para proveedores.

Una vez dentro, se mueven rápido. Envíos. Compras. Transferencias. Luego, el ruido. Para cuando la víctima recupera la conciencia de la situación, el daño ya está hecho.

Qué debe hacer si le ocurre esto

Si tu bandeja de entrada se llena de repente Con los correos electrónicos de confirmación legítimos, no te regocijes por tu popularidad:

No lo trates como spam. Trátalo como un bengala de advertencia.
Suponga que está sucediendo otra cosa y comience a buscar de inmediato.
Revise primero las cuentas financieras, de envíos y de proveedores.
Bloquee la facturación, rote las credenciales y habilite la autenticación multifactorial en todas partes.
Conserve las pruebas antes de realizar una eliminación masiva.
Documente cada llamada, cada promesa, cada número de caso. (Lo necesitará).

La parte más peligrosa de este ataque no fue el fraude. Fue la eficacia con la que captaron nuestra atención. secuestrado.Mil correos electrónicos son suficientes para desestabilizar incluso a los operadores más experimentados, y eso es precisamente en lo que se basa esta táctica.

Así que si tu bandeja de entrada empieza a gritar sin motivo aparente, no te limites a recurrir a los filtros. Detente. Respira hondo. Y ve a buscar lo que se supone que no debes notar. (Los estafadores ya lo hicieron).