Krebsonsecurity escuchó recientemente de un lector cuya cuenta de correo electrónico del jefe se puso y fue utilizado para engañar a uno de los clientes de la compañía para que enviaran un gran pago a los estafadores. Una investigación sobre la infraestructura del atacante apunta a un anillo de delitos cibernético nigeriano de larga data que se dirige activamente a las empresas establecidas en las industrias de transporte y aviación. Imagen: Shutterstock, Sr. Teerapon Tiuekhom. Un lector que trabaja en la industria del transporte envió un consejo sobre una reciente campaña de phishing exitosa que engañó a un ejecutivo en la compañía para que ingrese a sus credenciales en una página de inicio de sesión de Microsoft 365 falsa. A partir de ahí, los atacantes extrajeron rápidamente la bandeja de entrada del ejecutivo para comunicaciones pasadas sobre facturas, copiar y modificar algunos de esos mensajes con nuevas demandas de facturas que se enviaron a algunos de los clientes y socios de la compañía. Hablando bajo condición de anonimato, el lector dijo que los correos electrónicos de phishing resultantes a los clientes provenían de un nombre de dominio recién registrado que era notablemente similar al dominio de su empleador, y que al menos uno de sus clientes se enamoró de la artimaña y pagó una factura falsa. Dijeron que los atacantes habían aumentado un dominio parecido solo unas pocas horas después de que las credenciales de la bandeja de entrada del ejecutivo se payan, y que la estafa resultó en que un cliente sufriera una pérdida financiera de seis cifras. El lector también compartió que las direcciones de correo electrónico en los registros de registro para el dominio impostor – roomservice801@gmail.com – están vinculados a muchos de estos dominios de phishing. De hecho, una búsqueda en esta dirección de correo electrónico en DomaTinols.com encuentra que está asociada con al menos 240 dominios registrados en 2024 o 2025. Prácticamente todos imitan dominios legítimos para empresas en las industrias aeroespaciales y de transporte en todo el mundo. Una búsqueda en Internet para esta dirección de correo electrónico revela una publicación de blog humorística de 2020 en el hackware del foro ruso[.]Ru, que encontró Roomservice801@gmail.com estaba vinculado a un ataque de phishing que utilizó el atractivo de las facturas falsas para engañar al destinatario para que inicie sesión en una página de inicio de sesión de Microsoft falsa. Volveremos a esta investigación en un momento. Justy John Domaindools muestra que algunos de los primeros dominios registrados en Roomservice801@gmail.com en 2016 incluyen otra información útil. Por ejemplo, los registros de Whois para Alhhomaidhicentre[.]Referencia a Biz El contacto técnico de «Justy John» y la dirección de correo electrónico justyjohn50@yahoo.com. Una búsqueda en Domaineols encontró a justyjohn50@yahoo.com ha estado registrando dominios de phishing únicos desde al menos 2012. En este punto, estaba convencido de que alguna compañía de seguridad seguramente ya había publicado un análisis de este grupo de amenazas en particular, pero aún no tenía suficiente información para sacar conclusiones sólidas. Doma -Domaols dice que la dirección de correo electrónico de Justy John está vinculada a más de dos docenas de dominios registrados desde 2012, pero podemos encontrar cientos de dominios de phishing más y direcciones de correo electrónico relacionadas simplemente pivotando los detalles en los registros de registro de estos dominios de Justy John. Por ejemplo, la dirección de la calle utilizada por el Justy John Domain Axisupdate[.]NET – 7902 PelLeaux Road en Knoxville, TN – También aparece en los registros de registro de cuentas.[.]com, acctlogin[.]Biz y LoginAccount[.]Biz, todo en un momento incluía la dirección de correo electrónico rsmith60646@gmail.com. Esa dirección de Rsmith Gmail está conectada al dominio de phishing 2012 Alibala[.]Biz (un personaje fuera del gigante chino de comercio electrónico Alibaba.com, con un dominio de nivel superior diferente de .biz). Una búsqueda en DomaTools en el número de teléfono en esos registros de dominio: 1.736491613, revela aún más dominios de phishing, así como el número de teléfono nigeriano «2348062918302» y la dirección de correo electrónico Michsmith59@gmail.com. DomaTinols muestra a Michsmith59@gmail.com aparece en los registros de registro del dominio Seltrock[.]com, que se utilizó en el ataque de phishing documentado en la publicación de blog rusa de 2020 mencionada anteriormente. En este punto, estamos a solo dos pasos de identificar el grupo de actores de amenaza. El mismo número de teléfono nigeriano aparece en docenas de registros de dominio que hacen referencia a la dirección de correo electrónico sebastinekelly69@gmail.com, incluyendo 26i3[.]neto, Costamere[.]com, danagruop[.]nosotros, y dividido[.]com. Una búsqueda web en cualquiera de esos dominios encuentra que fueron indexados en una lista de «indicador de compromiso» en GitHub mantenida por el equipo de investigación de la Unidad 42 de Palo Alto Networks. Silverterrier Según la Unidad 42, los dominios son el trabajo de un vasto grupo de delitos cibernéticos con sede en Nigeria que denominó «Silverterrier» en 2014. En un informe de octubre de 2021, Palo Alto dijo que Silverterrier sobresale en las actividades de Ingeniería o Interrusión Interlusión de Comportaciones de Comercio Comercial «. Los delincuentes de BEC usan ese acceso para iniciar o redirigir la transferencia de fondos comerciales para obtener ganancias personales. Palo Alto dice que Silverterrier abarca cientos de estafadores BEC, algunos de los cuales han sido arrestados en varias operaciones internacionales de aplicación de la ley por Interpol. En 2022, Interpol y la Fuerza de Policía de Nigeria arrestaron a 11 presuntos miembros de Silverterrier, incluido un destacado líder de Silverterrier que había estado haciendo alarde de su riqueza en las redes sociales durante años. Desafortunadamente, el atractivo del dinero fácil, la pobreza endémica y la corrupción, y las bajas barreras de entrada para el delito cibernético en Nigeria conspiran para proporcionar un flujo constante de nuevos reclutas. Las estafas de BEC fueron el séptimo crimen más reportado rastreado por el Centro de Quejas de Delitos de Internet del FBI (IC3) en 2024, generando más de 21,000 quejas. Sin embargo, las estafas de BEC fueron la segunda forma más costosa de delitos cibernéticos reportados a los federales el año pasado, con casi $ 2.8 mil millones en pérdidas reclamadas. En su informe de encuesta de fraude y control de 2025, la Asociación para Profesionales Financieros encontró que el 63 por ciento de las organizaciones experimentaron un BEC el año pasado. Hacerse en algunas de las direcciones de correo electrónico que salen de esta investigación revela una serie de cuentas de Facebook para personas que residen en Nigeria o en los Emiratos Árabes Unidos, muchos de los cuales no parecen haber tratado de enmascarar sus identidades de la vida real. Los investigadores de la Unidad 42 de Palo Alto llegaron a una conclusión similar, señalando que aunque un pequeño subconjunto de estos delincuentes hizo todo lo posible para ocultar sus identidades, generalmente era simple aprender sus identidades en las cuentas de las redes sociales y los principales servicios de mensajería. Palo Alto dijo que los actores de BEC se han vuelto mucho más organizados con el tiempo, y que, si bien sigue siendo fácil encontrar a los actores que trabajan como grupo, la práctica de usar un número de teléfono, dirección de correo electrónico o alias para registrar la infraestructura maliciosa en apoyo de múltiples actores ha hecho mucho más tiempo consumidor (pero no imposible) para las organizaciones de ciberseguridad y la aplicación de la ley para ordenar qué actores cometieron los delitos específicos. «Continuamos encontrando que los actores de Silverterrier, independientemente de la ubicación geográfica, a menudo están conectados a través de solo unos pocos grados de separación en las plataformas de redes sociales», escribieron los investigadores. La cadena de matar fraude financiera Palo Alto ha publicado una lista útil de recomendaciones que las organizaciones pueden adoptar para minimizar la incidencia y el impacto de los ataques BEC. Muchos de esos consejos son profilácticos, como realizar capacitación regular de seguridad de los empleados y revisar las políticas de seguridad de la red. Pero una recomendación, familiarizarse con un proceso conocido como la «cadena de matar fraude financiera» o FFKC, tiene una mención específica porque ofrece la mejor esperanza para las víctimas de BEC que buscan recuperar los pagos hechos a los estafadores, y sin embargo, muchas víctimas no saben que existe hasta que sea demasiado tarde. Imagen: IC3.gov. Como se explica en este cartel del FBI, la cadena internacional de fraude financiero es una asociación entre la aplicación de la ley federal y las entidades financieras cuyo propósito es congelar fondos fraudulentos conectados por las víctimas. Según el FBI, las quejas de víctimas viables presentadas ante IC3.gov de inmediato después de una transferencia fraudulenta (generalmente menos de 72 horas) serán trasladadas automáticamente por la Red de Control de Delitos Financieros (FINCEN). El FBI observó en su informe anual IC3 (PDF) que el FFKC tenía una tasa de éxito del 66 por ciento en 2024. Las quejas viables IC3.gov implican pérdidas de al menos $ 50,000 e incluyen todos los registros de los registros de la víctima o el banco de víctimas, así como un formulario de FFKC completado (proporcionado por Fincen) que contiene información de víctimas, información de receptores, nombres de banco, números de cuentas, ubicación, mada, y información de FFKC.