Desde hace ya un buen tiempo que existe una forma de estafa denominada en inglés “BEC”, sigla de “Business Email Compromise” o compromiso de correo corporativo, de negocios o empresarial.
Ha sido responsable de una enorme cantidad de fraudes cometidos en todo el mundo, que han reportado a los delincuentes cantidades millonarias en cualquier moneda que se exprese; consiste en el uso del correo electrónico para hacerse pasar por un contacto conocido por la víctima, tanto de una organización externa como de la propia organización a la que pertenece, en este caso por lo general, haciéndose pasar por alguien de mayor jerarquía.
Esta forma de fraude implica dos grandes tipos de actividad delictiva:
- Falsificación de direcciones de correo
- Compromiso de cuentas de correo
La Falsificación de direcciones de correo
El primer caso consiste en el envío de correos mostrando como remitente una dirección de email diferente a la realmente usada. Esto es posible debido a que el protocolo SMTP no provee un mecanismo para autenticación de direcciones de email. Así, los delincuentes pueden modificar el encabezado de un email para que este parezca haber sido enviado desde una dirección distinta de la verdadera. De hecho, hay programas disponibles en Internet para envío de correos falsos, que permiten hacer esto muy fácilmente, sin demandar ningún conocimiento técnico por parte del atacante.
Obsérvese que esta forma de ataque básicamente permite el envío de correos falsos; para que el atacante reciba las respuestas que el destinatario pueda dar, es necesario que los correos enviados tengan indicado que las respuestas sean enviadas a una dirección lo más parecida a la verdadera, controlada por el atacante, intentando así engañar a la víctima.
A modo de ejemplo, si un delincuente pretende engañar a alguien haciéndole creer que quien le escribe lo hace desde la dirección fulanodetal@empresa.com, puede manipular el correo a enviar poniendo esta dirección correcta como remitente pero haciendo que la respuesta se envíe a la dirección fulanodetal@ernpresa.com, la cual habrá sido creada por el atacante y obviamente estará bajo su absoluto control.
Esta forma de ataque permite al delincuente controlar parcialmente la comunicación, asumiendo el papel de una de las partes, pero no teniendo control sobre lo que dice o hace el impostado. Si bien en general suele dar “buenos” resultados al atacante, genera situaciones sumamente confusas en las que los correos del atacante se entreveran con los de la persona verdadera, algunas veces conduciendo a tiempo al descubrimiento del engaño.
Compromiso de cuentas de correo
Complementariamente, existe una variante que le da al delincuente mucho más control sobre los diálogos y acciones y suele ser mucho más difícil de detectar; se da cuando el atacante consigue comprometer una cuenta de correo, haciéndose de las credenciales de acceso a la misma, a partir de lo que no necesita falsificar nada, dado que controla la cuenta verdadera, o mejor dicho, comparte el control de la misma con su titular.
Por lo general esta variante del BEC, tiene como objetivos las cuentas de correo de ejecutivos y personal del nivel C o gerencial. Para esto, el delincuente utiliza inicialmente diferentes técnicas de ataque, tales como ingeniería social, malware, keyloggers, así como también ataques de la categoría anteriormente mencionada (spoofing de direcciones de email) con el fin último de hacerse de las credenciales de acceso a la cuenta de correo de su víctima.
Una vez obtenido el acceso, entre varias otras cosas, el delincuente puede monitorear emails, interceptar aquellos que contengan instrucciones de pago y modificar los datos bancarios para dirigir los fondos a cuentas bajo su control.
En general, si un delincuente gana acceso a una cuenta de email, puede hacer bastante más que acceder al correo. Entre otras cosas, podrá:
Crear reglas para leer, responder, borrar y desviar emails a una subcarpeta, de modo que la víctima no se dé cuenta.
- Monitorear acuerdos y pagos.
- Enviar emails y luego eliminarlos de la carpeta de enviados.
- Eliminar advertencias provenientes del área de seguridad y tecnología.
- Aprender sobre el estilo de redacción de la víctima, saludos usados y palabras claves.
- Descargar documentos reales para editarlos y reenviarlos como parte de un engaño.
Ahora bien, ¿qué se puede hacer para protegerse de este tipo de amenazas?
Si bien es cierto que no es una defensa totalmente segura, de ser posible, lo más recomendable es utilizar un doble factor de autenticación para autenticar el acceso a las cuentas de correo.
Adicionalmente, se pueden implementar otras medidas que ayudan a defenderse para no verse involucrado en un ataque de tipo BEC:
- Marcar en el asunto los emails provenientes de dominios externos (depende del servidor)
- Llevar adelante campañas de concienciación de seguridad, que ayudarán a que el personal tome mejores decisiones respecto a los emails recibidos.
- Siempre que exista la posibilidad, convalidar por una vía confiable diferente al email, con nuestras contrapartes o superiores, antes de enviar dinero o información confidencial.
- Estar atentos a la aparición de dominios similares al de nuestra organización.
- Cambiar con frecuencia la contraseña de nuestra cuenta de email.
- Implementar medidas que impidan la impostación de nuestro dominio de correo.
Si bien ninguna de estas contramedidas por sí sola conseguirá una defensa total, todas ellas suman a la hora de brindar un entorno de correo menos inseguro.
Desde Security Advisor, estamos a disposición para asistirle a cumplir este objetivo.
Autor: Hugo Köncke – Gerente Regional de Consultoría en Security Advisor
La concientización es la mejor opción
El área de Consultoria de Security Advisor tiene una oferta de servicios orientados a la concientización de Directorios y Alta Dirección que permiten que estas instancias de la administración conozcan los conceptos fundamentales de ciberseguridad, amenazas y casos actuales y el posible impacto en el negocio.
Conozca más sobre nuestros servicios de consultoría haciendo click aquí.
Por consultas no dude en comunicarse con nosotros haciendo click aquí.
Conecta