Cómo proteger a su organización contra ataques de compromiso de correo electrónico comercial


Las estafas de BEC representaron la mitad de todas las pérdidas por delitos cibernéticos en los EE. UU. En 2019, según Check Level Research.

El Enterprise Electronic mail Compromise (BEC) es un tipo de ataque common entre los ciberdelincuentes, ya que apunta a empresas e individuos en un intento de recibir dinero transferido a cuentas fraudulentas. Por lo normal, un ataque BEC se hace pasar por una persona de confianza o familiar, como un empleado de alto rango, un contratista o un socio para engañar a la víctima para que compre tarjetas de regalo, desvíe las declaraciones de impuestos o incluso transfiera artículos caros a los criminales detrás del ataque. UNA publicación de website publicada el martes por el proveedor de inteligencia de amenazas cibernéticas Verify Point Analysis revela las últimas tendencias en ataques BEC y ofrece consejos sobre cómo las organizaciones pueden combatirlos.

Las pérdidas anuales de las campañas de BEC alcanzaron los $ 1.7 mil millones en 2019, según los informes del FBI. Informe de delitos en Web de 2019. Este tipo de ataques representaron la mitad de todas las pérdidas por delitos informáticos en los Estados Unidos el año pasado, lo que convirtió a BEC en la principal amenaza cibernética por infligir daños financieros. BEC también fue el razón principal para que las empresas llenen reclamos de seguro de cibercrimen en 2018, según la aseguradora AIG.

En el pasado, las campañas de BEC generalmente engañaban las cuentas de correo electrónico de los CEO y otros ejecutivos de alto rango para pedirles a los empleados que transfirieran fondos a las cuentas de los delincuentes. Con el tiempo, estos ataques se expandieron para dirigirse a clientes, departamentos de recursos humanos, proveedores, contadores, firmas de abogados e incluso autoridades fiscales. El objetivo es el mismo, pero ahora los atacantes intentan engañar a los destinatarios para que compren tarjetas de regalo, desvíen las declaraciones de impuestos e incluso transfieran millones de dólares de hardware y otros equipos a sus manos listas.

VER: Ciberseguridad: pongámonos tácticos (PDF gratis)

Al igual que las campañas de phishing tradicionales, los ataques BEC a menudo aprovechan los temas de las noticias o los de interés para las personas. Y en estos días, uno de los temas principales es, naturalmente, el coronavirus. Los ataques cibernéticos relacionados con COVID-19 aumentaron un 30% durante las dos primeras semanas de mayo, muchos de los cuales involucraron estafas por correo electrónico. En varios incidentes de este tipo, agencias gubernamentales e instalaciones médicas que buscan comprar equipos sin saberlo transfirió dinero a ciberdelincuentes, eventualmente descubriendo que el equipo no existía y que su dinero se había ido.

Las tarjetas de regalo se han convertido en una forma común para que los ciberdelincuentes obtengan dinero, ya que no requieren cuentas bancarias o transferencias directas de fondos. Estas tarjetas se pueden vender fácilmente en línea por alrededor del 70% de su valor inicial. Las estafas de tarjetas de regalo son particularmente populares durante las temporadas de vacaciones, y los delincuentes usan tarjetas para minoristas como Google Participate in, eBay, Goal y Walmart.

Las campañas BEC generalmente usan tres métodos diferentes para hacerse pasar por cuentas legítimas, según Verify Issue.

  1. En un método, los atacantes falsifican la dirección de correo electrónico de la fuente, fácilmente factible ya que el protocolo SMTP no ofrece una forma efectiva de validar un remitente. Los delincuentes usan servidores SMTP públicos o dedicados para implementar correos electrónicos con una dirección falsificada.
  2. En otro método, los atacantes utilizan el phishing, el robo de credenciales u otros medios para obtener el regulate de las cuentas de correo electrónico de las personas que quieren suplantar. Luego pueden enviar correos electrónicos desde la cuenta serious para otorgar legitimidad a la solicitud de fondos.
  3. En un tercer método, los atacantes se registran y envían correos electrónicos desde un nombre de dominio equivalent al del dominio actual que pretenden falsificar. Por ejemplo, el dominio registrado puede ser xyz.co en contraste con el nombre legítimo de xyz.com.

En un ejemplo de 2019, un contratista de defensa de EE. UU. Fue engañado para que enviara artículos por una orden falsa por un valor de más de $ 10 millones, incluidos $ 3.2 millones en equipos sensibles de interceptación de comunicaciones. El atacante usó una orden de compra falsa con una dirección de correo electrónico falsa de Yahoo que terminó en «navy-mil.us». El equipo fue realmente enviado y recibido, lo que afortunadamente condujo a la identidad y el arresto de la persona detrás de la estafa. Pero el atacante tuvo la habilidad de saber qué tipo de cuenta de correo electrónico configurar, con qué funcionarios contactar, cómo diseñar y escribir la orden de compra, y qué equipo especificar.

En otro ejemplo, los atacantes se infiltraron y monitorearon las cuentas de Microsoft 365 de tres empresas financieras. Después de crear dominios similares para estas empresas y sus socios, cuentas y bancos, los delincuentes desviaron ciertos correos electrónicos a estos dominios falsos. Usando este tipo de esquema de «hombre en el medio», los grupos detrás de la campaña lograron solicitar y recibir transferencias de dinero por valor de más de $ 1.3 millones.

Para ayudar a su organización y empleados a luchar contra los ataques BEC, Verify Position ofrece los siguientes consejos:

  1. Protege tu tráfico de correo electrónico con al menos una capa de una solución avanzada de seguridad de correo electrónico de un proveedor conocido. Los jugadores de nicho y las soluciones de código abierto pueden causar más daño que bien.
  2. Proteja la navegación móvil y de punto closing con soluciones avanzadas de seguridad cibernética, que impiden navegar a sitios internet de phishing, ya sean conocidos o desconocidos.
  3. Usar autenticación de dos factores para verificar cualquier cambio en la información de la cuenta o en las instrucciones de transferencia.
  4. Educa continuamente a tus usuarios finales. Siempre que se realicen acciones irreversibles, como transferencias de dinero, los detalles de la transacción deben verificarse mediante métodos adicionales, como la comunicación de voz, y no deben basarse exclusivamente en la información de la correspondencia por correo electrónico.
  5. Verifique la dirección de correo electrónico completa en cualquier mensaje y esté alerta a los hipervínculos que pueden contener errores ortográficos del nombre de dominio real.
  6. No proporcione credenciales de inicio de sesión o información individual en respuesta a un mensaje de texto o correo electrónico.
  7. Monitorear regularmente las cuentas financieras.
  8. Asegúrese de estar utilizando una solución de seguridad de correo electrónico eso bloquea ataques sofisticados de phishing como BEC para evitar que lleguen a los buzones de los empleados en primer lugar.

Ver también

Estafa de phising! escribir en una nota adhesiva aislada en el escritorio de Office

Imagen: syahrir maulana, Getty Images / iStockphoto



Enlace a la noticia original