Vigilante para BEC en medio del caos de COVID-19


Los expertos del FBI y de seguridad advierten que los atacantes están apuntando particularmente a los sistemas de correo electrónico basados ​​en la nube en este momento.

Esta semana, la Oficina Federal de Investigaciones (FBI) de los Estados Unidos instó a las empresas y a los trabajadores remotos a ser más cautelosos con las estafas de compromiso de correo electrónico comercial (BEC) a través del correo electrónico basado en la nube, advirtiendo que los atacantes han redoblado sus esfuerzos para llevar a cabo ataques BEC a raíz de el COVID-19.

En un anuncio de servicio público publicado el lunes por el Centro de Quejas por Delitos en Online (IC3) del FBI, los federales advirtieron que los cibercriminales persiguen específicamente a organizaciones que usan sistemas de correo electrónico basados ​​en la nube con intentos de BEC, cobrando el hecho de que muchas víctimas no lo harán. se ha tomado la precaución de activar las funciones de seguridad en estas plataformas que deben configurarse y habilitarse manualmente.

El IC3 del FBI calcula que solo entre enero de 2014 y octubre de 2019 registró pérdidas reales de $ 2,1 mil millones por estafas de BEC dirigidas solo a dos servicios de correo electrónico populares basados ​​en la nube.

Mientras tanto, la Oficina de Prensa Nacional del FBI el lunes también envió un lanzamiento eso advirtió que la agencia anticipa un aumento standard en los esquemas de BEC para beneficiarse del caos, la urgencia y la distracción de los usuarios provocada por la pandemia global. Por ejemplo, los funcionarios notaron que «ha habido un aumento en los fraudes de BEC dirigidos a municipios que compran equipo de protección personalized u otros suministros necesarios en la lucha contra COVID-19».

Las estafas de BEC varían según la creatividad del atacante, pero lo más importante es que buscan personas bien ubicadas que controlen las cuentas financieras de su organización. Usando tácticas como la toma de command de la cuenta de correo electrónico o la suplantación de identidad, los malos se harán pasar por un colega o jefe, a veces el CEO, a veces un vendedor, a veces una persona altamente calificada en otro departamento, y tratarán de convencer a su marca por correo electrónico para cometer un error muy costoso. . En algunos casos, intentarán engañar a la persona para que transfiera dinero al estafador con fines ficticios «legítimos» o para hacer cambios de último momento en los detalles de una transacción financiera existente para beneficiar al prison.

Este tipo de contras mejorados por la tecnología han costado a las organizaciones millones de dólares a la vez.

«Es importante que los líderes reconozcan que el fraude de correo electrónico de BEC y el compromiso de la cuenta de correo electrónico han crecido hasta convertirse probablemente en el problema más costoso en toda la seguridad cibernética», dice Sherrod DeGrippo, director sénior de investigación y detección de amenazas de Proofpoint.

De hecho, el FBI IC3 señaló recientemente en su Informe de delitos en Web de 2019 que las estafas de BEC representaron el 40% de las pérdidas por cibercrimen el año pasado. Es possible que ese número aumente aún más, ya que los delincuentes ven a BEC en la pandemia como una fruta baja. La rápida distribución de los empleados a situaciones improvisadas de trabajo desde el hogar, el uso de dispositivos desconocidos, las distracciones y la ansiedad creadas por la enfermedad y la interrupción del negocio, se han combinado para crear un terreno de caza BEC perfect para los malos.

«Es possible que los empleados que trabajan desde casa estén aún más distraídos de lo recurring, con niños, quehaceres domésticos y ansiedades por coronavirus compitiendo por su atención», explica Seth Blank, vicepresidente de estándares y nuevas tecnologías de Valimail. «Eso los hará aún menos atentos a las pistas sutiles de que un correo electrónico es un ataque de phishing. Y, cuando trabajan desde casa, también es más possible que usen una pantalla pequeña o incluso sus teléfonos celulares para administrar el correo electrónico, lo que puede hacer que algunos de estos intentos de phishing, que utilizaban identidades de remitentes falsas, son casi imposibles de detectar «.

Correo electrónico basado en la nube de Phishy

También es más possible que comuniquen servicios de correo electrónico basados ​​en la nube, a veces por primera vez en un entorno comercial oficial. Según el FBI, los delincuentes se han intensificado particularmente en campañas de phishing oportunistas utilizando kits que se hacen pasar por populares servicios de correo electrónico basados ​​en la nube.

«Los servicios en la nube son particularmente atractivos para los ciberdelincuentes porque los usuarios suelen estar familiarizados con estas herramientas y es probable que hagan clic en los mensajes asociados con ellas», dice DeGrippo. «Los usuarios también suelen usar cuentas en la nube fuera de la protección de seguridad de su organización, abriéndolas a posibles compromisos».

Una vez que los delincuentes obtienen acceso a la cuenta en la nube de la víctima, los funcionarios del FBI dicen que a menudo analizarán el contenido de las tiendas de correo electrónico para buscar evidencia de transacciones financieras. Si lo encuentran, a veces configurarán las reglas del buzón de esa persona para eliminar mensajes sobre transacciones o reenviar automáticamente mensajes relevantes a la cuenta de correo electrónico externa del atacante. Eso les da un reinado libre para insertarse en la cadena de comunicación entre la víctima y terceros, como vendedores o clientes, para tratar de obtener pagos pendientes o futuros redirigidos a cuentas fraudulentas.

Desde una perspectiva técnica, el FBI recomienda que las organizaciones encabecen estas estafas BEC de correo electrónico basadas en la nube en el paso al prohibir el reenvío automático a direcciones externas, usar la autenticación multifactorial y prohibir los protocolos heredados que pueden burlar el MFA, monitorear los cambios en la configuración del correo electrónico y configurar el remitente Plan Framework (SPF), DomainKeys Identified Mail (DKIM) e Informes de autenticación y conformidad de mensajes basados ​​en dominio (DMARC) para evitar la suplantación de identidad y validar el correo electrónico.

Mientras tanto, según el FBI, esté atento a estas banderas rojas para un BEC en medio del bloqueo de COVID-19:

  • Urgencia inexplicada
  • Cambios de última hora en las instrucciones de transferencia o información de la cuenta del destinatario
  • Cambios de última hora en plataformas de comunicación establecidas o direcciones de cuentas de correo electrónico
  • Comunicaciones solo por correo electrónico y negativa a comunicarse por teléfono o plataformas de voz o video en línea
  • Solicitudes de pago avanzado de servicios cuando no se requerían previamente
  • Solicitudes de empleados para cambiar la información de depósito directo

En última instancia, dependerá de las organizaciones transmitir este conocimiento a los trabajadores que ya están disparando desde la cadera en circunstancias laborales muy inusuales.

«Trabajar de forma remota el 100 por ciento del tiempo es diferente a trabajar desde casa una o dos veces por semana», dice DeGrippo. «Se requiere una vigilancia adicional, especialmente con respecto a los enlaces en los que está haciendo clic y los fondos que transfiere, porque el trabajo remoto a menudo significa que no está protegido por las mismas salvaguardas que tiene su oficina ni es fácil consultar con colegas o socios para verificar la autenticidad de una solicitud de pago «.

Contenido relacionado:

Mira esta lista de productos y servicios de seguridad gratuitos desarrollado para Darkish Reading through por analistas de Omdia para ayudarlo a enfrentar los desafíos de COVID-19.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dim Studying. Ver biografía completa

Más ideas





Enlace a la noticia authentic