Cómo los atacantes sopesan los execs y los contras de las técnicas BEC



Los investigadores de seguridad analizan las metodologías en evolución de los atacantes en el compromiso del correo electrónico empresarial y las campañas de phishing.

CONFERENCIA RSA 2021: el compromiso del correo electrónico empresarial (BEC) y los ataques de phishing constituyen una gran parte de los problemas de seguridad que afectan a las organizaciones de hoy, y continúan siendo una amenaza a medida que los atacantes encuentran nuevas formas de mezclarse con las bandejas de entrada de las víctimas y manipularlas para enviar fondos.

En su «Informe sobre delitos en Net de 2020, «el Centro de Quejas de Delitos en World wide web del FBI (IC3) encontró que los delitos en Online condujeron a pérdidas reportadas superiores a $ 4.2 mil millones. De las 791.790 quejas recibidas en 2020, 19.369 involucraron BEC y el compromiso de cuentas de correo electrónico (EAC) y causaron $ 1.8 mil millones en pérdidas.

«A medida que los estafadores se han vuelto más sofisticados, el esquema BEC / EAC ha evolucionado en especie», escribieron los funcionarios en su informe.

En 2013, los atacantes a menudo comenzaron estas campañas violando las cuentas de correo electrónico de los directores ejecutivos o directores financieros y enviando correos electrónicos para solicitar pagos electrónicos que se enviaron a ubicaciones fraudulentas. Ahora, los atacantes BEC / EAC violan cuentas de correo electrónico personales, comprometen los correos electrónicos de los proveedores, solicitan formularios W-2 y piden tarjetas de regalo.

La transferencia bancaria es «un elemento básico en evolución» de BEC, dijo Crane Hassold, director senior de investigación de amenazas en Agari, en una charla en la Conferencia RSA virtual de esta semana en la que se discutieron las diversas formas que BEC puede tomar. La ingeniería social es «extremadamente eficaz», BEC a menudo tiene un mayor retorno de la inversión en comparación con otros ataques, y la mayoría de las defensas se centran en los ataques más técnicos.

Las transferencias bancarias tienen algunas ventajas notables para los atacantes: pueden conducir a pagos mucho más altos, por ejemplo, y se prestan a pretextos más sofisticados diseñados para engañar a sus víctimas.

Como ejemplo, Hassold describió un ataque BEC que apareció hacia fines de 2020 en el que el atacante usó una llamada de money como pretexto para solicitar $ 42,080 de una empresa objetivo. Una llamada de capital es una solicitud realizada por una empresa para recibir el dinero que le ha prometido un inversor.

«Hemos visto que estos tipos de pagos superan el millón de dólares», dijo Hassold, y señaló que los ataques BEC con temas de inversión generalmente pueden exigir montos más altos sin que parezcan inusuales.

En otro ataque reciente de BEC, el atacante se hizo pasar por un CEO durante una adquisición. Enviaron un correo electrónico a un miembro del equipo de finanzas para que se pusiera en contacto con otro atacante que se hiciera pasar por un abogado legítimo. Después de esta «transferencia», se le pidió al empleado objetivo que hiciera pagos considerables como parte de la adquisición, que en última instancia estaba destinada a los atacantes.

«Estos son los tipos de pretextos sofisticados que vemos cada vez más prevalentes en el espacio de transferencias bancarias / BEC», dijo Hassold.

Los estafadores dedican más tiempo a crear correos electrónicos que parecen legítimos. Al hacerlo, tienen credibilidad para exigir más dinero en transferencias bancarias.

Si bien la técnica de transferencia bancaria tiene sus beneficios, también tiene sus inconvenientes. Estos ataques suelen tener pagos más lentos y requieren transferencias entre mulas de dinero antes de que los fondos lleguen a los atacantes. La mayoría de los estafadores no reciben el dinero directamente, señaló Hassold, por lo que necesitan intermediarios en la misma ubicación que sus objetivos.

Contando los métodos de reintegro de BEC
El desvío de la nómina es otra técnica de BEC en evolución a medida que los atacantes buscan nuevas formas de ser efectivos. Estos ataques involucran un correo electrónico a recursos humanos solicitando una actualización de la cuenta bancaria de un empleado utilizada para depósito directo.

Aquí, una ventaja para los atacantes es la detección retrasada. A los empleados solo se les paga una vez cada dos semanas si su depósito directo no llega, pasará algún tiempo antes de que se den cuenta de que algo anda mal. Otro beneficio es el tipo de cuentas de mula que pueden usar. La mayoría de las cuentas que se utilizan en transferencias electrónicas son cuentas corrientes comerciales normales. En el desvío de la nómina, los investigadores ven que se utilizan más cuentas prepagas para recibir fondos, lo que permite un proceso de lavado más rápido.

Estas tarjetas prepagas son un factor clave que impulsa a BEC en la actualidad, dijo Hassold, y señaló que las aplicaciones como CashApp también se están convirtiendo en parte integral del ecosistema de BEC porque son la principal forma en que los fondos se mueven fuera del país.

«CashApp permite que alguien convierta fondos en criptomonedas muy rápidamente», señaló.

También hay desventajas en esta técnica. Los atacantes desconocen los salarios de los empleados, por lo que no conocen el pago a menos que se total un ataque. También tienen una gama más limitada de objetivos porque solo pueden enviar un correo electrónico a alguien del equipo de recursos humanos de la empresa.

La desviación de la nómina, en muchos casos, eclipsó la transferencia bancaria como porcentaje de los ataques BEC, dijo Hassold, pero ha fluctuado a medida que las empresas implementan protecciones. Esta táctica disminuyó a principios de 2020 debido a un cambio en las cuentas de mulas que estaban usando los atacantes. Una organización principal que solía recibir ataques de desvío de nómina hasta 2019 implementó mitigaciones que obligaron a los atacantes a buscar nuevas formas de recibir sus fondos.

La tercera táctica más popular de BEC es la estafa de tarjetas de regalo. Más de la mitad (57%) de todos los ataques BEC que vio Agari en 2020 solicitaron tarjetas de regalo como forma de pago, señaló.

A diferencia del desvío de la nómina, las estafas de tarjetas de regalo tienen un grupo mucho mayor de objetivos potenciales.

«Hay una población mucho mayor de empleados potenciales que pueden ser el objetivo de estos ataques en comparación con otros tipos de ataques BEC», dijo Hassold sobre las estafas de tarjetas de regalo.

Otra ventaja de los atacantes es que no son reversibles. Una vez recibidos, se lavan rápidamente.

Pero a diferencia de las transferencias bancarias o el desvío de nóminas, el pago es menor. Una estafa exitosa de tarjetas de regalo le reportará al atacante entre $ 1,000 y $ 1,500, dijo Hassold. También son menos convincentes para los empleados, quienes probablemente no compren tarjetas de regalo, tomen fotografías y las envíen a los atacantes.

«Tiene el potencial de generar muchas banderas rojas a medida que avanza», señaló Hassold.

¿Qué sigue para BEC?
Los estafadores continúan pensando en el futuro y desarrollan formas de ataque más sigilosas, dijo Hassold.

Señaló el compromiso del correo electrónico del proveedor como ejemplo. En estos ataques, el delincuente envía un correo electrónico de phishing con el objetivo de capturar las credenciales de la víctima en un sitio world wide web de phishing. Con las credenciales, pueden iniciar sesión en una bandeja de entrada de destino y reenviarse a sí mismos información sobre facturas, pagos y otros detalles financieros. Con esto, el atacante está equipado para enviar una factura falsa a la empresa, haciéndose pasar por cliente y solicitando el dinero que espera pagar.

«Muchos de los ataques BEC que vemos en las noticias de hoy serán estos ataques de compromiso por correo electrónico de los proveedores», dijo Hassold.

Otra táctica próxima implica el informe de antigüedad, o un informe financiero que enumera los pagos pendientes adeudados por un proveedor o proveedor. Contiene datos sobre pagos vencidos, puntos de contacto para cada cliente y otra información. Algunos atacantes de BEC ahora solicitan un informe de antigüedad en lugar de una transferencia bancaria porque pueden usarlo para enviar solicitudes de pago convincentes.

«Lo que harán los atacantes es utilizar toda esta información para enviar un correo electrónico a todos los clientes en esta lista para enviar pagos por saldos pendientes», explicó Hassold.

En enero de 2021, más del 10% de todos los ataques BEC solicitaban un informe de antigüedad, «por lo que podemos ver que esto se está volviendo mucho más well known en la esfera BEC».

Kelly Sheridan es la editora de private de Darkish Looking through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first