Una empresa de inteligencia artificial de Maryland admitió ante la Comisión de Bolsa y Valores (SEC) que perdió 250.000 dólares debido a una transferencia bancaria errónea.
Se sospecha que iLearningEngines es un esquema de Business Email Compromise (BEC) en el que ciberdelincuentes no identificados se infiltraron en sus sistemas, reenviaron 250.000 dólares en transferencias bancarias, luego eliminaron “numerosos” correos electrónicos y los codificaron. Anunció que lo había hecho.
“Al enterarse de que el incidente estaba contenido, (iLearningEngines) activó su plan de respuesta de ciberseguridad y comenzó una investigación interna”, se lee en el comunicado.
iLearningEngines proporciona una plataforma de automatización de aprendizaje electrónico para instituciones educativas.
“La compañía contrató a una firma forense reconocida a nivel nacional y otros asesores externos para evaluar y remediar el fraude. La investigación y respuesta en curso de la compañía incluye una evaluación continua de.
La empresa también dijo que no había podido cobrar los pagos y no indicó que estuviera en proceso de intentar cobrarlos.
BEC es un gran negocio. Según el FBI, en 2023 hubo más de 21.000 quejas sobre este tipo de fraude, por delante de sólo 2.825 quejas sobre ransomware. Sin embargo, esto último puede verse influenciado por organizaciones que no reportan incidentes.
Las pérdidas ajustadas bajo el sistema BEC de Estados Unidos ascendieron a más de 2.900 millones de dólares el año pasado, según la Reserva Federal.
El lenguaje utilizado en la divulgación de iLearningEngines resulta una lectura interesante. “Los atacantes accedieron ilegalmente a ciertos archivos en el entorno y la red de la empresa”, dijo, sugiriendo que hubo una intrusión técnica, pero esto no es necesariamente un requisito para una estafa BEC exitosa.
Las estafas de BEC generalmente se dirigen al personal del departamento de finanzas o contabilidad de una empresa con correos electrónicos de phishing que tienen autoridad para realizar transferencias bancarias.
Los estafadores no necesariamente necesitan acceso a una cuenta de correo electrónico genuina de la empresa para convencer a las víctimas de que envíen dinero. De hecho, es más común que los atacantes falsifiquen direcciones de correo electrónico que son sutilmente diferentes de los dominios legítimos que utilizar cuentas de correo electrónico corporativas legítimas después de una infracción.
Por supuesto, utilizar una cuenta genuina aumenta enormemente sus posibilidades de éxito. Las organizaciones con prácticas sólidas de seguridad del correo electrónico pueden filtrar muchos intentos de correo electrónico falsificados, marcar mensajes y remitentes sospechosos y alertar a los usuarios cuando el dominio del remitente es diferente de lo que realmente es.
Recuperar fondos no es imposible, pero es una tarea difícil que requiere una acción rápida.
El primer punto de contacto es contactar directamente con el banco de su organización y seguir sus consejos. Luego, como en el caso de iLearningEngines, seguimos el consejo de un experto en seguridad externo reclutado y volvemos al seguro cibernético, asumiendo que el seguro de la víctima cubre el fraude BEC.
incertidumbres financieras y legales;
También se advirtió a los inversores que, si bien los 250.000 dólares robados pueden no ser los últimos costes incurridos en el incidente, no tendrán un impacto material en los resultados de fin de año de iLearningEngines.
“Con base en la información disponible hasta la fecha, creemos que el incidente de ciberseguridad tendrá un impacto material en nuestras operaciones para el trimestre finalizado el 31 de diciembre de 2024, pero que este incidente afectará significativamente nuestras operaciones para el trimestre finalizado el 31 de diciembre de 2024. “No esperamos que esto tenga un impacto material en nuestros resultados de operaciones”, según el comunicado.
“La empresa sigue expuesta a una serie de riesgos derivados de este incidente, incluida la distracción de la gestión, posibles litigios, cambios en el comportamiento de los clientes e inversores y el escrutinio regulatorio”.
iLearningEngines no ha descartado la posibilidad de que se preste atención legal y regulatoria a este incidente, como se alude en la divulgación de la SEC.
Si eso sucede, simplemente se sumaría a la lista de problemas similares que la empresa ya enfrenta, incluida una demanda colectiva presentada por abogados que alegan que la empresa informó incorrectamente sus ingresos. La demanda se centra en las acusaciones hechas en un informe de agosto sobre la empresa por Hindenburg Research, una firma de inversión estadounidense centrada en las “ventas en corto”. La compañía niega las afirmaciones y señala “extensas auditorías y revisiones de terceros realizadas por importantes instituciones financieras”.
iLearningEngines, que recientemente nombró nuevos ejecutivos, también anunció ayer que pospondría sus resultados financieros del tercer trimestre de 2024. La compañía reiteró que había establecido un “comité especial de la junta” para llevar a cabo una investigación independiente sobre las acusaciones hechas en lo que llamó un “reciente informe de venta en corto”.
El precio de las acciones de la empresa cayó un 53% tras las acusaciones y aún no se ha recuperado.
Harish Chidambaran, director ejecutivo de iLearningEngines, emitió una extensa respuesta a las acusaciones, refutando cada una de las principales afirmaciones de Hindenburg.
Los abogados que patrocinan la demanda colectiva dieron a los accionistas como fecha límite el 6 de diciembre para registrar su interés en unirse a la demanda contra la empresa. ®
https://packetstormsecurity.com/news/view/36612/Crooks-Snag-250k-Wire-Payment-From-AI-Biz.html
