Cómo evitar ataques de Compromiso de Correo Electrónico Empresarial
Las estafas de compromiso de correo electrónico comercial (BEC) son ataques de baja tecnología que utilizan técnicas de ingeniería social para explotar las tendencias humanas naturales.
Si bien es posible que no reciban tanta atención de la prensa como los ataques de ransomware de alto perfil, las estafas BEC se consideran una de las mayores amenazas que enfrentan las empresas en la actualidad. Entre junio de 2016 y julio de 2019, hubo 32,367 estafas BEC exitosas en los EE. UU., Que costaron a las empresas estadounidenses más de $ 3.5 mil millones, según cifras del FBI.
Afortunadamente, existen algunas estrategias muy efectivas y fáciles de implementar para detener los ataques BEC. En esta publicación, le mostraremos cómo puede combinar la capacitación del personal, la implementación de procesos y la tecnología de autenticación para proteger a su organización de los ataques BEC.
¿Qué es el compromiso del correo electrónico comercial?
Un ataque BEC es una estafa sofisticada que se dirige a empresas e individuos que realizan pagos por transferencia bancaria.
Business email compromise timeline infographic courtesy of the FBI
A diferencia de las estafas de correo electrónico regulares que se distribuyen a miles o millones de usuarios, los ataques BEC se planifican cuidadosamente y son altamente específicos.
Una estafa típica de BEC involucra a un atacante que obtiene acceso a la cuenta de correo electrónico de un ejecutivo de C-suite a través de una campaña de phishing, infección de malware, fuga de contraseña o ataque de fuerza bruta. El atacante monitorea la cuenta de correo electrónico comprometida para conocer los hábitos de comunicación de la víctima y obtener una comprensión profunda de los procesos y procedimientos de rutina de la compañía.
Una vez que el atacante ha llevado a cabo su vigilancia, envía un correo electrónico redactado con urgencia a un objetivo, indicando al destinatario que realice una solicitud importante.
Lo que hace que la estafa sea tan convincente es el hecho de que el correo electrónico se envía a través de canales de comunicación legítimos y parece ser de un contacto comercial familiar y confiable. El objetivo a menudo se siente inclinado a procesar rápidamente la solicitud sin preguntas cuando el correo electrónico parece haber sido enviado por el jefe del objetivo o el jefe del jefe.
La ganancia monetaria suele ser el objetivo principal de una estafa BEC. Las víctimas son engañadas para creer que están realizando una transacción regular, cuando en realidad están transfiriendo grandes sumas de dinero directamente a la cuenta bancaria de los estafadores.
En otros casos, los atacantes pueden usar estafas BEC para extraer información de identificación personal de los empleados, que puede usarse en futuros ataques o venderse en el mercado negro.
Compromiso de correo electrónico comercial frente a spear phishing y caza de ballenas
Las estafas BEC, el phishing y la caza de ballenas comparten una serie de similitudes. Los tres son estafas por correo electrónico que usan ingeniería social para extraer dinero o información confidencial de un objetivo específico.
Sin embargo, la forma en que logran este objetivo es ligeramente diferente. Mientras que los ataques de spear phishing y caza de ballenas implican atacar directamente a un objetivo con correos electrónicos de phishing, las estafas de BEC dependen de infiltrarse en una cuenta de correo electrónico relacionada con el objetivo para hacerse pasar por un contacto comercial conocido y ganar la confianza del objetivo.
Los peores casos de compromiso de correo electrónico comercial de 2019
1. Tecnimont SpA
En enero, Tecnimont SpA, un grupo industrial internacional con sede en Milán, reveló que había sido atrapado en una de las estafas de BEC más grandes de la historia. Mientras se hacía pasar por el CEO Pierroberto Folgiero, los atacantes enviaron una serie de correos electrónicos al jefe de Tecnimont Pvt Ltd, la subsidiaria india de Tecnimont SpA, para organizar llamadas de conferencia sobre una empresa comercial secreta en China.
Durante las llamadas falsas, los estafadores asumieron los roles de varias partes interesadas, incluido Folgiero, un abogado suizo y otros altos ejecutivos. Los atacantes finalmente convencieron al jefe de Tecnimont Pvt Ltd de transferir $ 18.6 millones de la India a los bancos en Hong Kong. El dinero fue retirado casi al instante.
2. Condado de Cabarrus
En julio, el condado de Cabarrus, Carolina del Norte, admitió que había sido estafado por más de $ 2.5 millones.
En noviembre de 2018, el departamento de finanzas del condado recibió correos electrónicos enviados de lo que parecía ser Branch and Associates, una compañía contratista que estaba construyendo la nueva West Cabarrus High School.
Los correos electrónicos incluían una solicitud para actualizar la información de la cuenta bancaria de Branch and Associates. El personal recibió toda la documentación aparentemente válida y las aprobaciones requeridas, y procesó la solicitud en consecuencia. Los siguientes pagos de proveedores realizados por la escuela fueron directamente a la cuenta de los estafadores y se canalizaron rápidamente a través de una serie de otras cuentas.
El banco pudo congelar y recuperar $ 776,518 del pago de $ 2,504,601, dejando que el condado pague el saldo restante de más de $ 1,7 millones a la sucursal y asociados reales.
3. Toyota Boshoku Corporation
En agosto, la filial europea de Toyota Boshoku Corporation, un importante proveedor del fabricante japonés de automóviles Toyota, cayó en una costosa estafa de BEC.
Los atacantes persuadieron a un empleado con autoridad financiera para actualizar la información de la cuenta en una transferencia bancaria, lo que finalmente resultó en que la compañía transfiriera más de $ 37 millones directamente a las manos de los delincuentes.
Después de enterarse de que fue víctima de fraude, Toyota Boshoku rápidamente reunió a un equipo para tratar de recuperar el dinero. La compañía señaló que podría tener que modificar su pronóstico de ganancias de marzo de 2020 si no puede recuperar los fondos perdidos.
Cómo evitar ataques de compromiso de correo electrónico empresarial
Un enfoque en capas que incluye múltiples controles y controles es la mejor manera de evitar una estafa BEC. Hay tres componentes principales en los que centrarse: capacitación del personal, política de la empresa y tecnología de autenticación de correo electrónico.
Formación
Los empleados de una empresa son la primera y más importante línea de defensa contra los ataques BEC. La capacitación del personal para reconocer los signos de una estafa puede contribuir en gran medida a reducir el riesgo de compromiso y prevenir el fraude.
Si bien los ataques BEC tienden a centrarse en el C-suite y otros superiores con autoridad financiera, el punto de entrada inicial puede ocurrir en cualquier nivel de una empresa. Como tal, es importante que el personal reciba capacitación regular sobre cómo identificar y responder a los ataques BEC.
Evite que los atacantes obtengan acceso inicial a una cuenta de correo electrónico corporativo
Para llevar a cabo una estafa BEC, los atacantes primero necesitan obtener acceso a una cuenta de correo electrónico de la empresa. Prevenir este punto inicial de compromiso es crítico para detener los ataques BEC.
Aquí hay algunas formas comunes en que los atacantes usan correos electrónicos para obtener acceso a cuentas de correo electrónico corporativas:
Suplantación de nombres de dominio
Comúnmente utilizado en ataques BEC y otras estafas de phishing, la suplantación de nombres de dominio implica falsificar la dirección del remitente para que parezca que alguien más ha enviado un correo electrónico. Esto es sorprendentemente fácil de hacer, y solo requiere un servidor SMTP que funcione y cierto software de correo. El atacante puede utilizar la suplantación de nombre de dominio para convencer a un empleado de divulgar sus credenciales de inicio de sesión de correo electrónico para obtener acceso a su cuenta de correo electrónico.
Para verificar la falsificación de nombres de dominio, vea el código fuente del correo electrónico y busque el campo "responder a". Si la dirección de respuesta es diferente de la dirección del remitente, el correo electrónico puede ser un BEC o una estafa de phishing.
Nombre falso
Los atacantes suelen utilizar la suplantación de nombres para hacerse pasar por alguien dentro de la empresa objetivo. Esto se puede lograr simplemente registrando una cuenta de correo electrónico gratuita y cambiando el nombre para mostrar al mismo nombre que un contacto comercial de confianza, como un ejecutivo de alto rango. El atacante espera que el destinatario vea el nombre para mostrar sin verificar la dirección de correo electrónico y, en consecuencia, realice la solicitud, entable un diálogo o abra un archivo adjunto malicioso.
La suplantación de nombre para mostrar es inmune a las tecnologías de verificación como DMARC, DKIM y SPF (más sobre eso más adelante). La solución simple aquí es alentar al personal a verificar la dirección de correo electrónico del remitente y no depender únicamente del nombre para mostrar.
Ataques de phishing
Los atacantes suelen utilizar técnicas de phishing tradicionales para obtener acceso inicial a una cuenta de correo electrónico. Como tal, el personal debe estar atento a los correos electrónicos que crean un sentido de urgencia. Los correos electrónicos de phishing generalmente están redactados de una manera que golpea ciertos desencadenantes psicológicos y obliga al receptor a tomar medidas inmediatas. De acuerdo con la empresa de capacitación de concientización de seguridad KnowBe4, las líneas de asunto generales de correo electrónico de phishing más clicadas en el segundo trimestre de 2019 fueron:
Verificación de contraseña requerida de inmediato
Desactivación de [[correo electrónico]] en proceso
Comunicado de prensa urgente a todos los empleados.
Tienes un nuevo mensaje de voz
Haga una copia de seguridad de sus correos electrónicos
Cómo reconocer cuándo un atacante ha obtenido acceso a una cuenta de correo electrónico corporativo
Si bien los pasos anteriores pueden ayudar a reducir el riesgo de que una cuenta se vea comprometida, no existe un sistema preventivo que sea 100 por ciento seguro. En consecuencia, los empleados deben ser cautelosos y estar siempre atentos a los indicadores de una posible estafa.
Estos son algunos de los signos más comunes de un ataque BEC:
Correos electrónicos fuera de carácter de la alta gerencia
Los estafadores a menudo se hacen pasar por personas en posiciones de poder para obtener influencia psicológica sobre sus víctimas. Aliente a los empleados a tener en cuenta de quién reciben correos electrónicos y considerar si la comunicación es fuera de lo común.
Por ejemplo, los empleados deben sospechar mucho si el CEO solicita una transacción urgente que omite los procedimientos habituales, o si el CFO exige acceso a una parte restringida de la red.
Ortografía y errores gramaticales
Los correos electrónicos cargados de errores ortográficos y gramaticales también deberían levantar algunas banderas rojas. Si bien los atacantes pasan mucho tiempo aprendiendo los hábitos de comunicación de su objetivo, todavía son propensos a cometer errores. Por supuesto, un error tipográfico no es necesariamente una prueba de una estafa BEC, pero debe ser motivo de sospecha, especialmente si el mensaje se refiere a una solicitud importante.
Solicitudes para eludir políticas
La mayoría de las organizaciones tienen procedimientos estrictos en lo que respecta a los pagos o solicitudes de información confidencial. Los empleados deben tener mucho cuidado con los correos electrónicos que les piden que omitan las políticas de la empresa, independientemente de la posición del remitente en la organización.
Revisar procesos
Las estafas de BEC se aprovechan de los defectos humanos naturales. La implementación de políticas de comunicación robustas con múltiples controles y controles puede ayudar a fortalecer estos defectos y proteger a las organizaciones de los ataques.
El personal de todos los niveles de una organización, en particular los ejecutivos, los recursos humanos y los del departamento de finanzas, debe conocer y adherirse a los procesos claramente definidos para manejar las transacciones financieras y las solicitudes de correo electrónico importantes.
A continuación se presentan algunos procesos de seguridad que las organizaciones deberían considerar:
Habilite 2FA en cuentas de correo electrónico
La autenticación de dos factores (2FA) requiere que el usuario ingrese una información secundaria (como un código de verificación dinámico) además de las credenciales de inicio de sesión del usuario. Asegurar las cuentas de correo electrónico del trabajo con 2FA reduce el riesgo de que un atacante obtenga acceso no autorizado a la cuenta de correo electrónico de un empleado, lo cual es fundamental para prevenir las estafas BEC subsiguientes.
Si bien 2FA no es una solución perfecta (ha habido casos de atacantes que interceptan códigos de verificación a través de suplantación de números de teléfono, malware e ingeniería social), puede ser muy útil para prevenir estafas BEC de bajo esfuerzo.
Minimizar la autorización financiera.
Cuantas más personas tengan autoridad para procesar transferencias electrónicas, más objetivos potenciales habrá dentro de la organización y mayores serán las posibilidades de que alguien envíe accidentalmente fondos a los estafadores.
Como tal, las compañías deben minimizar la cantidad de empleados que están autorizados para procesar transferencias electrónicas y garantizar que el personal autorizado comprenda y se adhiera a los procesos de la compañía y pueda identificar de manera confiable los signos de un ataque BEC.
Verificar solicitudes de pago
Las organizaciones deben implementar un proceso de verificación en dos pasos para todas las solicitudes de transferencia bancaria. Se pueden aplicar controles de validación adicionales (como exigir a una segunda persona que autorice las transferencias) para pagos grandes que exceden un cierto umbral.
Dado que los ataques BEC generalmente implican el uso de cuentas de correo electrónico pirateadas, el proceso de verificación debe involucrar otra forma de comunicación, como una llamada telefónica.
Idealmente, estos canales de comunicación deben establecerse temprano en la relación y organizarse fuera del entorno del correo electrónico para minimizar las posibilidades de compromiso o intercepción.
Verificar solicitudes para diferentes procesos de pago
Muchos ataques BEC implican persuadir a un empleado para que reemplace la información de la cuenta de un proveedor existente con la cuenta del atacante. Con esto en mente, las organizaciones deben buscar la confirmación telefónica de todas las solicitudes para actualizar la información de pago utilizando un número de contacto verificado que se haya proporcionado anteriormente en la relación. Los números de teléfono contenidos en la solicitud pueden ser falsificados y no deben usarse para verificación.
Tecnología
Existen varios mecanismos de autenticación que se pueden usar para verificar la autenticidad de un correo electrónico. El uso de una combinación de estos mecanismos ofrece la mejor protección contra estafas BEC.
Marco de políticas del remitente
Sender Policy Framework (SPF) es un estándar de autenticación de correo electrónico que se puede utilizar para detectar direcciones de remitente falsificadas durante la entrega de correo electrónico. Diseñado para complementar SMTP (un protocolo de comunicación para la transmisión de correo electrónico), SPF es una capa importante en la prevención de estafas BEC y ataques de phishing.
SPF permite al propietario de un dominio especificar qué servidores pueden enviar correos electrónicos en su nombre. Permite al servidor de correo receptor verificar durante la entrega que el correo electrónico entrante se originó en un dominio que fue autorizado por el administrador de ese dominio. Si el correo electrónico se envía desde un servidor no autorizado, el servidor receptor considera que el mensaje es fraudulento y puede intervenir para evitar la entrega.
Sin embargo, es importante tener en cuenta que SPF tiene algunas limitaciones significativas, lo que lo hace lejos de ser una solución perfecta para las estafas BEC. Esto se debe a la forma en que SPF valida al remitente.
Los correos electrónicos vienen con dos direcciones FROM:
Sobre FROM: la dirección donde se originó el correo electrónico y a la que se envían las notificaciones de error.
Encabezado FROM: la dirección de correo electrónico utilizada por el cliente de correo electrónico para completar el campo FROM.
SPF fue diseñado principalmente para proteger al remitente del sobre. Como resultado, no puede validar las direcciones de encabezado FROM, que comúnmente son falsificadas en estafas BEC, ya que son más visibles para los destinatarios de correo electrónico durante los ataques.
Consulte esta página de Wikipedia para obtener más información sobre la implementación y las mejores prácticas de SPF.
DomainKeys Identified Mail
DomainKeys Identified Mail (DKIM) proporciona otra forma de autenticación de correo electrónico. Al igual que SPF, DKIM permite al destinatario de un correo electrónico verificar que un correo electrónico fue enviado y autorizado por el propietario de ese dominio. DKIM logra esto adjuntando una firma digital a los correos electrónicos salientes.
El sistema del destinatario puede determinar si un correo electrónico se ha firmado con una firma DKIM válida, lo que significa que el correo electrónico es probablemente legítimo. Por otro lado, la ausencia de una firma DKIM válida significa que el correo electrónico puede ser falsificado.
Contrariamente a SPF, las firmas DKIM no validan el sobre del mensaje (incluida la dirección del sobre DESDE), lo que significa que no puede proteger contra ataques de mal direccionamiento. En cambio, se enfoca en autenticar la dirección en el encabezado, que se usa más comúnmente en BEC y estafas de phishing.
Informes de autenticación de mensajes basados en dominio y conformidad
El informe y la conformidad de autenticación de mensajes basados en el dominio (DMARC) es uno de los mecanismos más efectivos para combatir las estafas BEC y los ataques de phishing.
El protocolo de seguridad de correo electrónico amplía las capacidades de SPF y DKIM, y permite a los propietarios de dominios especificar qué método de autenticación (SPF, DKIM o ambos) se utiliza al enviar correos electrónicos desde ese dominio. Los propietarios de dominios también pueden elegir qué sucede con un mensaje de correo electrónico si falla la autenticación (por ejemplo, rechazar el correo electrónico o ponerlo en cuarentena). Además, DMARC se puede utilizar para generar informes agregados y forenses, que pueden ser útiles para monitorear el tráfico de correo electrónico e identificar posibles riesgos de seguridad.
A pesar de los beneficios de DMARC, la mayoría de las organizaciones no han podido implementarlo. Según las cifras de la firma de seguridad y análisis de correo electrónico 250ok, casi 8 de cada 10 empresas (79.7 por ciento) en 2019 no usaron DMARC.
Resumen
Los ataques BEC son uno de los mayores riesgos de ciberseguridad que enfrentan las organizaciones en la actualidad. Debido a la naturaleza de baja tecnología de las estafas de BEC, la mitigación no se trata tanto de la tecnología de protección de vanguardia como de fomentar una actitud proactiva hacia la seguridad. Capacitar al personal para que esté atento, implementar políticas y procedimientos para los pagos por transferencia bancaria y habilitar mecanismos de autenticación de correo electrónico puede ayudar a las empresas de cualquier tamaño a reducir el riesgo de ser víctimas de una estafa BEC.