El concepto BEC, también conocido como «El Fraude del CEO», proviene de Business Email Compromise. Este engaño consiste en la utilización del email como medio, donde el ciberdelincuente se hace pasar por una persona de jerarquía dentro de nuestra organización, explotando su posición de influencia y la confianza de los demás. Así, un criminal impersonando al CEO por ejemplo, realizará solicitudes vía email, con el fin último de desviar fondos (como una solicitud de un pago a un nuevo proveedor, cuyos datos bancarios serán del cibercriminal).
Hablaremos de 2 grandes categorías de este ataque, a modo de simplificación:
- Spoofing de direcciones de email
- Compromiso de cuentas de email
Spoofing de direcciones de email
Esta modalidad radica en el envío de un correo utilizando una dirección de email diferente como remitente. Esto es posible gracias a que el protocolo SMTP no provee un mecanismo para autenticación de direcciones de email. Por lo tanto, ciberatacantes pueden modificar maliciosamente el encabezado de un email para que parezca ser originado por otra persona como por ejemplo, el CEO/CTO/CISO de nuestra organización.
Otro método igualmente frecuente es utilizar direcciones de email muy similares a la de nuestra víctima. Supongamos que el email objetivo es ciso@miorganizacion.com. Un cibercriminal podría adquirir el dominio miorganizac1on.com para enviar emails con la dirección ciso@miorganizac1on.com.
En el sitio web de SMARTFENSE ponen de diversas herramientas que permiten analizar la configuración de nuestro servidor de email para averiguar si es posible spoofear nuestras direcciones de email (Spoof Check) y por otro lado, analizar nombres de dominio similares a los de nuestra organización (DNS Twist), los cuales pueden haber sido creado por cibercriminales para posteriormente lanzar ataques de ingeniería social al personal de nuestra organización.
Compromiso de cuentas de email
Este caso ocurre cuando el ciberdelincuente consigue las credenciales de una cuenta de email. Preferentemente, tiene como objetivos aquellas cuentas de ejecutivos y personal del nivel C (CEO, CTO, CFO, etc). Para esto, el delincuente utiliza ingeniería social, malware, keyloggers y ataques de la categoría anteriormente mencionada (spoofing de direcciones de email) con el fin último de recolectar las credenciales de login de su víctima.
Una vez obtenido el acceso, el ciberdelincuente puede monitorear emails, interceptar aquellos que contengan instrucciones de pago y modificar los datos bancarios para dirigir los fondos a su bolsillo.
Si un atacante gana acceso a la cuenta de email, podría hacer algo más que acceder a su correo:
- Crear reglas para leer, responder, borrar y desviar emails a una subcarpeta, de modo que la víctima no se dé cuenta.
- Monitorear acuerdos y pagos.
- Eliminar emails de la carpeta de enviados.
- Eliminar advertencias provenientes del área de TI.
- Aprender sobre el estilo de redacción de la víctima, saludos y palabras claves.
- Descargar documentos oficiales para posteriormente editar y reenviar.
¿Cómo protegerse del BEC?
A continuación, mencionamos algunos tips para prevenir y detectar un ataque de este tipo:
- Marcar los emails provenientes de dominios externos en el asunto. Por ejemplo, [EXTERNO]- Asunto.
- Llevar adelante campañas de concienciación de seguridad, los cuales ayudarán al personal a tomar mejores decisiones sobre los emails recibidos.
- Utilizar 2FA (Doble Factor de Autenticación) en cuentas de email.
- Siempre convalidar por una vía confiable, diferente al email, con nuestros colegas antes de enviar dinero o información confidencial.
- Estar atentos a la aparición de dominios similares a nuestra organización.
- Rotar la password de nuestras cuentas de email.
Conclusión
Debido a que estas estafas no poseen links o adjuntos maliciosos, las soluciones de seguridad tradicionales no son capaces de detectarlas. Por esto, es fundamental llevar adelante programas de concienciación que permitan a los usuarios de nuestra organización detectar este tipo de engaños y alertar a las autoridades.
Fuente: segu-info.com.ar
