En años recientes, los ataques de correo corporativo comprometido (BEC, por sus siglas en inglés) se han vuelto más frecuentes.
El objetivo de los ataques BEC es comprometer la correspondencia empresarial con el fin de cometer fraude financiero, extraer información confidencial o dañar la reputación de una empresa.
Puesto que existen varios tipos de ataques, del que hablaremos hoy es el de más peligro: el BEC interno.
Por qué un BEC interno es más peligroso que uno externo
Los ataques BEC internos se distinguen de otros escenarios de ataque en que los correos electrónicos fraudulentos se envían de direcciones legítimas dentro de una empresa.
Es decir, para iniciar un ataque interno, un atacante tiene que haber accedido a la cuenta de correo de un empleado. Eso significa que no puedes confiar en los mecanismos de autenticación del correo (DKIM, SPF, DMARC) para evitar uno; ni te ayudarán las herramientas automáticas estándares de antiphishing y antispam, que buscan inconsistencias en encabezados técnicos o direcciones modificadas.
Generalmente, los mensajes provenientes de una casilla de correo comprometida solicitan la transferencia de dinero (a un proveedor, un contratista o una oficina tributaria) o el envío de información confidencial.
Todo esto está sazonado con trucos bastante generales de ingeniería social.
Los cibercriminales intentan apresurar al destinatario «(¡si no pagamos la factura hoy, la empresa se hará acreedora a una multa!)«, lo amenazan “le pedí que hiciera el pago el mes pasado, ¿¡qué carajo está esperando!?”, adoptan un tono autoritario que no tolera demoras o utilizan otras artimañas del libro de tácticas de la ingeniería social. Junto con una dirección legítima, pueden dar una impresión muy convincente.
Los ataques BEC internos también pueden desplegar correos electrónicos con enlaces a sitios falsos cuyas URL son diferentes de la dirección de la organización objetivo (o cualquier otra página confiable) por una o dos letras (una “i” mayúscula en lugar de una “L” minúscula, o viceversa, por ejemplo).
El sitio puede albergar un formulario de pago o un cuestionario que solicite información confidencial. Imagina recibir un correo electrónico o similar desde la dirección de tu jefe: “Hemos decidido enviarte a la conferencia. Reserva el boleto desde nuestra cuenta CUANTO ANTES para que podamos recibir el descuento por anticipación.” Incluye un adjunto que luce como el sitio del evento más importante de tu industria y luce muy convincente.
¿Cuáles son las probabilidades de que te tomes la molestia de estudiar cuidadosamente cada letra en el nombre de la conferencia si todo, incluida la firma del correo, parece estar en orden?
Cómo proteger a la empresa de los ataques BEC internos
Técnicamente, el correo es perfectamente legal, así que el único modo de reconocer uno falso es juzgando el contenido.
Al analizar muchos mensajes maliciosos mediante algoritmos de aprendizaje automático, es posible identificar rasgos que, combinados, pueden ayudar a determinar si un mensaje es verdadero o si es parte de un ataque BEC.
Recomendamos que pases un tiempo mirando bien los mensajes que solicitan una transferencia financiera o la divulgación de información confidencial. Añade una capa extra de autentificación que implique llamar por teléfono o mandar un mensaje (en un dispositivo confiable) al colega en cuestión, o habla con ellos en persona para aclarar los detalles.
Fuente:
Kaspersky https://latam.kaspersky.com/blog/
1 jun, 2020