Los 3 tipos más comunes de ataques BEC (y qué …



Sea siempre escéptico y compruebe las credenciales.

En el sitio internet del FBI Página «Estafas y seguridad», el compromiso del correo electrónico empresarial (BEC) se determine como «uno de los delitos en línea más dañinos desde el punto de vista financiero» y se observa que estos ataques cuestan a las empresas «cientos de miles de dólares» en promedio.

Además, un informe reciente de APWG encontró que la pérdida promedio de un ataque BEC por transferencia bancaria fue de $ 80,183 en el segundo trimestre de 2020 – un aumento del 32% respecto al primer trimestre.

Si bien los profesionales cibernéticos están familiarizados con lo que los ataques BEC buscan lograr, principalmente daños financieros pero también a la reputación, una miríada de terminología obtusa se usa comúnmente de manera intercambiable con el léxico de ataque de phishing más amplio para hacer que el sector de los ataques sea confuso y difícil de categorizar.

Pero para aquellos que son responsables de la mitigación de amenazas de correo electrónico, hay varios ejemplos claros de técnicas de ataque BEC que debe conocer. Parafraseando a Sun Tzu, antes de que puedas derrotar a un enemigo, primero debes entenderlo.

Información financiera de la empresa en la mira
Los ataques BEC comienzan con correos electrónicos de suplantación de identidad destinados a atraer a un destinatario a realizar una tarea bajo el disfraz de una actividad comercial legítima. Lo que los hace tan efectivos es que, por lo common, el correo electrónico parece provenir de un remitente de confianza, como una figura de autoridad. Por lo basic, el ciberdelincuente solicitará alguna forma de pago monetario o ingresar credenciales para robar información de identificación personalized de los empleados o datos confidenciales de la empresa, como formularios de salarios o impuestos, números de seguro social e información de cuentas bancarias.

Hay dos grupos generales en los que se incluyen los ataques BEC: spear-phishing (que contiene enlaces y / o adjuntos maliciosos) y, más comúnmente, ataques de ingeniería social. Las últimas toman la forma de verificaciones de disponibilidad de los empleados, solicitudes de tareas no específicas, solicitudes de tarjetas de regalo y solicitudes de depósitos directos, pagos y datos bancarios. Debido a que estos correos electrónicos no contienen enlaces o archivos adjuntos maliciosos, omiten las protecciones tradicionales de la puerta de enlace de correo electrónico seguro, que no pueden bloquear los correos electrónicos debido al texto que contienen.

Analicemos los tres tipos más comunes de ataques BEC.

Fraude del CEO: En este caso, los atacantes se harán pasar por el director ejecutivo de la empresa u otro ejecutivo de la empresa en un intento de engañar a cualquier nivel de empleado, desde pasantes hasta contadores, recursos humanos y todo lo demás, para que realicen transferencias electrónicas no autorizadas o envíen información fiscal confidencial. A menudo, aquí puede haber un cruce con ataques de ingeniería social, que utilizan la manipulación psicológica para engañar a las personas para que divulguen información confidencial o proporcionen acceso a fondos.

Por lo normal, los correos electrónicos fraudulentos de phishing del CEO son ingeniería social, pero a veces pueden ser ataques de spear-phishing (es decir, el atacante engaña al CEO pidiéndole a un empleado que descargue un archivo).

Compromiso de la cuenta: Como se mencionó anteriormente, uno de los mayores objetivos de los ciberataques es la toma de manage de cuentas. Esta es una de las formas más devastadoras de ataques BEC e implica el uso de correos electrónicos de phishing para piratear una cuenta de ejecutivo o empleado y luego usa esas calificaciones para solicitar el pago de facturas a los proveedores. Curiosamente, esto encaja con informes de que más del 56% de las organizaciones informan haber sido víctimas de una infracción causado por su proveedor.

Es posible que las adquisiciones de cuentas no se consideren tan destructivas como los ataques de ransomware o malware, pero pueden causar enormes pérdidas financieras a las empresas. También casi siempre comienzan con un ataque de ingeniería social, solicitando a los destinatarios tareas no especificadas o información comprometedora. Luego, los delincuentes suelen acechar durante meses sin ser detectados en el back again-conclusion de los sistemas, aprendiendo patrones de comunicación que luego pueden explotar. Este ecosistema es claramente todavía extremadamente vulnerable a los ataques de piratería y phishing, lo que deja una oportunidad propicia para que los ciberdelincuentes abusen.

Esquema de factura falsa: El FBI enumera los esquemas de facturas falsas como uno de los cinco tipos principales de estafas BEC. Estos ataques suelen tener como objetivo a alguien que trabaja en el departamento financiero de una empresa, como un contador. Los atacantes inteligentes alterarán los números de cuenta bancaria de una factura legítima, pero dejarán el resto de la factura sin cambios, lo que dificultará la detección de que es fraudulenta. Las posibilidades a partir de ahí son numerosas: Algunos atacantes aumentan el monto del pago o crean un pago doble, entre muchas estrategias.

Independientemente de cómo suceda, el esquema de factura falsa implica el uso de correos electrónicos de phishing para hacerse pasar por el contador, el proveedor o ambos. Estas técnicas se pueden reproducir en otros esquemas de facturación destacados, como la creación de empresas fantasma o la realización de compras fraudulentas con fondos de la organización.

Sin respuesta fácil
Como se mencionó anteriormente, es importante comprender y utilizar la terminología correcta al abordar un ataque BEC. Si el equipo de seguridad o de TI de su empresa no puede rastrear adecuadamente el origen de un posible ataque y comprender por qué los atacantes llevaron a cabo una campaña BEC de la forma en que lo hicieron, ¿cómo puede esperar su empresa mitigar los posibles daños?

No existe una fórmula mágica para la seguridad del correo electrónico. Los ciberdelincuentes son inteligentes y harán todo lo posible para eludir las herramientas y protecciones de ciberseguridad. Si bien las empresas han avanzado en la protección de valiosos datos financieros y de clientes, todo se lower a permanecer continuamente atentos a la tecnología de punta y la capacitación continua de concienciación sobre phishing para los empleados.

Otros consejos incluyen los siguientes:

  • Configurar la autenticación de dos factores (o multifactor)
  • Nunca abra un archivo adjunto de correo electrónico de alguien que no conoce
  • Usar un servicio de escaneo de URL para garantizar la veracidad de los enlaces

Como Donna Gregory, jefa del Centro de Quejas de Delitos en Web del FBI, ha dicho, «Los delincuentes se están volviendo tan sofisticados que cada vez es más difícil para las víctimas detectar las señales de alerta y distinguir entre lo authentic y lo falso». Con COVID-19 y otros problemas mundiales que crean distracciones que afectan la concentración y el enfoque de todos, los CISO y los profesionales de seguridad deben alentar a las personas a ser extremadamente escépticas y verificar las credenciales antes de participar en cualquier comunicación sospechosa.

Eyal Benishti ha pasado más de una década en la industria de la seguridad de la información, con un enfoque en I + D de software package para startups y empresas. Antes de establecer IRONSCALES, se desempeñó como investigador de seguridad y analista de malware en Radware, donde presentó dos patentes en el … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique