Tres maneras en que su BEC Protection está fallando y cómo hacerlo …


Los compromisos comerciales por correo electrónico cuestan a la economía miles de millones de dólares. Los expertos tienen consejos sobre cómo evitar que te golpeen por millones en un pop.

(imagen de maho, a través de Adobe Stock)

(imagen de maho, a través de Adobe Stock)

Según el FBI, los compromisos comerciales por correo electrónico (BEC) fueron los delitos cibernéticos más perjudiciales económicamente de 2019, responsables de más de $ 1.7 mil millones en pérdidas. Y las compañías pueden sentir un aguijón muy agudo por un solo BEC: solo en los últimos seis meses, Toyota perdió $ 37 millones, Nikkei perdió $ 29 millones e incluso un distrito escolar de Texas recibió $ 2.3 millones.

Si bien algunos de los ataques utilizan servidores o explotaciones de cuentas como un vector, la mayoría depende de un ser humano del lado de la víctima para abrir la puerta para que ingrese el legal.

El variable humano significa que hay múltiples cosas a considerar cuando se trata de planes de defensa. La pregunta, para muchas organizaciones, es cómo equilibrar los factores humanos y la tecnología al tratar de descubrir la mejor manera de asignar dólares a la defensa cibernética.

Puede comenzar evitando estos errores comunes.

Subestimar los desafíos en la línea del frente
La primera línea en la batalla BEC está delante del teclado. «El private debe ser educado contra la amenaza de las estafas BEC y ha practicado el uso de un proceso definido para responder a las sospechas de estafas BEC y otros intentos de ingeniería social», dice Richard Gold, jefe de ingeniería de seguridad en Digital Shadows.

«El empleado sigue siendo la última medida de protección o la última posición contra los ataques BEC para muchas organizaciones cuando todas las demás medidas de seguridad fallan», dice Mark Chaplin, director del Foro de Seguridad de la Información.

Y esa última medida está siendo atacada por algo más que organizaciones criminales. «Los plazos de trabajo, los compromisos familiares y los prejuicios personales representan solo algunos de los factores que pueden evitar que una persona aplique la precaución necesaria antes de actuar en un correo electrónico contaminado», explica Chaplin. El estrés que menciona, y muchos otros, son preocupantes porque los delincuentes han desarrollado una considerable experiencia en la explotación de las debilidades de sus víctimas.

«Los delincuentes se han vuelto más sofisticados al considerar los aspectos psicológicos de un ataque», dice Gold, y agrega: «Esto ha resultado en que los empleados más hábiles, calificados y conscientes de la seguridad caigan en un ataque bien diseñado y dirigido».

Ese ataque utilizará cada vez más un vector que muchas organizaciones no pueden abordar en la capacitación.

Con vistas a un vector de ataque clave
«Si bien muchas organizaciones han implementado capacitación en ciberseguridad con énfasis en el correo electrónico, capacitando a los usuarios para identificar ataques de phishing, la mayoría de los esfuerzos se centran completamente en clientes de correo electrónico de escritorio donde los usuarios pueden verificar fácilmente los indicadores de phishing», dice Chris Hazelton, director de soluciones de seguridad en Lookout. «Es con el correo electrónico móvil donde esta capacitación se queda corta, tanto en enfoque como en aplicación». Él dice que la mayoría de los indicadores de phishing en realidad no existen en los clientes de correo electrónico móvil, que tienden a ocultar las direcciones de correo electrónico completas y limitan la capacidad de previsualizar hipervínculos.

Estas brechas en el entrenamiento y las debilidades tecnológicas están permitiendo a los atacantes usar BEC como la parte frontal de los ataques que tienen repercusiones económicas de vez en cuando. «Estamos viendo a los atacantes obtener acceso al sistema de correo y luego esperar. Están dentro del sistema y el tiempo de espera que estamos viendo es un mínimo de seis a siete meses antes de que realmente inicien el ataque», dice Tom Arnold. , cofundador, vicepresidente y jefe de análisis forense de Payment Software package Business, parte del grupo NCC. «Realmente están mapeando cómo se ve esta organización y están mirando a la organización interna de la misma manera que usted o yo mapearíamos redes y descubriríamos qué máquinas hacen qué», explica.

Medidas de autenticación insuficientes
Los ataques BEC pueden tomar varias formas, pero para muchos expertos en ciberseguridad hay un solo punto en el que muchos pueden detenerse: autenticar al usuario o proceso que intenta acceder a los activos de la pink.

«Las estafas BEC, similares a las estafas de robo de identidad, se basan en la autenticación insuficiente de las personas u organizaciones involucradas en una transacción financiera. Cualquier transacción financiera que involucre grandes sumas debe usar mecanismos de autenticación fuertes para evitar pérdidas», dice Gold. Para Gold, como para muchos otros, la autenticación mejorada es uno de los fundamentos tecnológicos de la estrategia anti-BEC.

La autenticación multifactor podría ayudar a las compañías a defenderse de los ataques cuidadosamente diseñados que muchos delincuentes usan como trampolines para campañas integrales. «La mayoría de los ataques que hemos visto han sido ataques para tratar de obtener credenciales, y una vez que tienen credenciales, inician sesión y comienzan a enmascararse como usuarios. Y en gran medida, inician sesión y solo monitorean lo que está sucediendo. averiguar cómo elaborar sus continuos ataques «, dice Arnold.

Y aunque la autenticación multifactor puede agregar fricción a cada transacción en la que se emplea, no todas las transacciones de los empleados son igualmente sensibles. «Agregue la autenticación multifactor a las aplicaciones financieras críticas y sensibles para evitar el acceso no autorizado por parte de grupos criminales», dice James McQuiggan, defensor de la conciencia de seguridad en KnowBe4, y continúa: «A nivel de proceso, agregue requisitos de autorización multinivel o escalonados para varios montos en dólares antes de permitir a los empleados para enviar dinero «.

La autorización adicional con autenticación multifactorial puede evitar, dice, que una sola persona apruebe o envíe grandes cantidades a un proveedor (o legal).

«Mucha gente bostezaría en los BEC, no son sofisticados», dice Arnold. «No es como un grupo APT que viene de China o algo así. Realmente no es súper sofisticado, pero de nuevo, es muy, muy lucrativo».

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dim Examining. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y movie para Dim Examining y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más strategies





Enlace a la noticia unique