Comprometer el correo electrónico empresarial, una industria de US$12.5 mil millones

El correo electrónico sigue representando el principal vector utilizado por los ciberdelincuentes, así que comprometer el correo electrónico empresarial (Business Email Compromise, o BEC) está ganando tracción como uno de los tipos preferidos de ataques en el mundo

Desde SonicWall nos hacen llegar esta colaboración editorial sobre la creciente industria dedicada a comprometer el email corporativo, escrito por Alejandro Tomas, Sales Engineer para SonicWall México, Centroamérica y El Caribe

 

Business Email Compromise (BEC): una estafa de US $ 12.5 mil millones

Los ataques tipo BEC no contienen ningún malware y pueden eludir fácilmente las soluciones de ciberseguridad tradicionales de correo electrónico. Cabe señalar que para los ciberdelincuentes, no es necesario invertir en malware altamente sofisticado y evasivo. En cambio, se involucran en extensas actividades de ingeniería social para obtener información sobre sus posibles objetivos y entonces elaboran mensajes personalizados.

Por la naturaleza de este tipo de ataque, que no tiene una carga de malware, otras soluciones como el NGFW (Next Generation Firewall) o un antivirus de cliente son inútiles ante la amenaza.

Además, si consideramos la manera en que muchos administradores de sistemas piensan, casi siempre comienzan a implementar su estrategia de seguridad bajo la premisa de que deben protegerse contra las amenazas que están en Internet, sin embargo, es igualmente peligroso comprometer la reputación del dominio de la empresa al convertirse de manera inadvertida en spammers. El enviar correos o malware desde la premisa de la organización hacia otros dominios en Internet puede ocasionar que los correos legítimos reboten porque su dominio esté en listas negras.

Lo que hace que estos ataques sean peligrosos es que los nombres de usuario y las contraseñas de los ejecutivos corporativos se encuentran fácilmente disponibles para los ciberdelincuentes en la Dark Web, información que presumiblemente obtuvieron debido a violaciones de datos de sitios web o usando aplicaciones de terceros.

Quizás otros de los peligros asociados al correo electrónico, hoy en día tienen que ver con la confianza que muchos administradores ponen en los “hostings”. Hay una variedad enorme de servicios en la nube para alojar el correo de una empresa, pero, la mayoría de ellos tienen vulnerabilidades en cuestión de seguridad.

Lo más común es encontrar un servicio que efectivamente bloquee el spam de entrada a la organización, pero no se encargará de hacer autentificación de remitentes, revisión de firmas contra los adjuntos, protección de ataques de día cero, ni algún otro tipo de validación especialmente con el correo saliente.

«Hasta el 2023, los ataques dirigidos a comprometer empresas serán persistentes y evasivos, lo que generará grandes pérdidas a las empresas por fraude financiero, así como violaciones de datos para las organizaciones gubernamentales y de salud», dijo Gartner en su reciente informe Fighting Phishing – 2020 Foresight 2020.

Entonces ¿Qué es un correo electrónico empresarial comprometido?

Un ataque BEC falsifica dominios de confianza, imita marcas y/o copia identidades corporativas. En muchos de los casos, los correos electrónicos aparecen de un remitente legítimo o confiable, como podría ser del director general de la compañía, quien generalmente solicita transferencias electrónicas.

El FBI clasifica a BEC como una estafa sofisticada dirigida a aquellas empresas que trabajan con proveedores extranjeros y/o empresas que regularmente realizan pagos a través de las transferencias bancarias. Este es un problema muy real y creciente a tal grado que el bureau ha dicho que BEC es una estafa que ha generado alrededor de $12.5 mil millones de dólares.

 

Tipos de BEC o fraude por email

El correo electrónico ha existido desde la década de los 60’s y el estándar de Internet actual para la comunicación por esta vía – Protocolo Simple de Transferencia de Correo (SMTP) – no fue diseñado para autenticar a los remitentes ni verificar la integridad de los mensajes recibidos. Por lo tanto, es fácil alterar o «suplantar» el origen de un correo electrónico. Por ello esa débil identificación del remitente continuará presentando oportunidades para ataques creativos.

Por ejemplo, en un falso correo electrónico reciente, el mensaje fue aparentemente escrito por un colega y el nombre del remitente mostrado intenta centrar la atención en esta sección por parte del destinatario. Pero un examen más detallado sobre el dominio del remitente revela la naturaleza sospechosa del correo electrónico.

Ahora, veamos los diferentes tipos de técnicas de suplantación que un atacante podría usar para iniciar su ataque:

 

Mostrar nombre suplantado

Esta es la forma más común de ataque BEC. En este caso, un cibercriminal intenta hacerse pasar por un empleado legítimo, generalmente un ejecutivo, con el fin de engañar al destinatario para que tome una acción. El dominio utilizado podría pertenecer a un servicio de correo electrónico gratuito como Gmail.

 

Nombre de dominio suplantado

Esto incluye falsificar ya sea la casilla «Correo de» que tiene el remitente para que entonces coincida con el dominio del destinatario o bien, usar un dominio legítimo en el recuadro «Correo de» pero se cambia en el código del encabezado de dicho mensaje la opción “Responder a” para que se dirija la respuesta a un dominio fraudulento.

 

Suplantación de dominio hermano o simulación de dominios similares

Este tipo de ataque se basa en crear confusión visual para el receptor. Esto generalmente implica el uso de dominios hermanos como «.ORG» o «.NET» en lugar de «.COM», o el intercambio de caracteres, como el número «0» para la letra «O», una «I» mayúscula para una minúscula «L.» Esto también se conoce como typosquatting.

 

Cuenta de correo electrónico comprometida o Apropiarse de la Cuenta (ATO)

Esto se lleva a cabo comprometiendo cuentas legítimas de correo electrónico comercial a través de ingeniería social o al usar técnicas de intrusión informática, entonces realizan transferencias no autorizadas de fondos o robo de datos.

 

Las mejores prácticas para detener ataques BEC

¿Preocupado de que su organización podría ser víctima del correo electrónico empresarial comprometido? Estas son algunas de las mejores prácticas de ciberseguridad en correo electrónico que puede implementar para protegerse contra ataques BEC sofisticados.

1. Bloquee correos electrónicos fraudulentos implementando el Sender Policy Framework (SPF), las claves de dominio del correo identificado (DKIM) y agregue las capacidades de autentificación de mensajes basados en dominios, informes y conformidad (DMARC).
2. Habilite la autenticación de factor múltiple y solicite cambios periódicos de contraseña para detener ataques de cuentas comprometidas.
3. Establezca procesos de aprobación para transferencias electrónicas.
4. Ofrezca capacitación periódica sobre educación informática con un enfoque centrado en las personas para combatir los ataques de correo electrónico.