El compromiso de correo electrónico comercial (BEC) se ha convertido en uno de los métodos más populares de piratería con fines financieros. Y durante el último año, un grupo en unique ha demostrado cuán rápido, fácil y lucrativo es realmente.
En un 1 de febrero entrada en el weblog, Crane Hassold, director de inteligencia de amenazas en Irregular Security, describió a «Firebrick Ostrich», un actor de amenazas que ha estado realizando BEC a una escala casi industrial. Desde abril de 2021, el grupo ha realizado más de 350 campañas BEC, haciéndose pasar por 151 organizaciones y utilizando 212 dominios maliciosos en el proceso.
Este volumen de ataques es posible gracias al enfoque de tiroteo al por mayor del grupo. Firebrick Ostrich no discrimina mucho cuando se trata de objetivos, ni reúne inteligencia excepcional para crear el cebo de phishing perfecto. Lanza dardos a una pared porque, evidentemente, cuando se trata de BEC a escala, eso es suficiente.
«BEC es atractivo para los malos actores», explica Sean McNee, CTO de DomainTools, a Dim Examining, «debido a las barreras de entrada más bajas que el malware, menos riesgo, oportunidades de escalado más rápidas y mucho más potencial de ganancias para niveles más altos que otros métodos. de ataque».
Estos factores pueden explicar por qué tales ataques son «absolutamente la tendencia emergente», como dice Hassold a Dark Studying, dejando incluso al ransomware en el polvo. «Hay literalmente cientos, si no miles, de estos grupos por ahí».
BEC MO de avestruz de ladrillo refractario
Firebrick Ostrich casi siempre se dirige a organizaciones con sede en los Estados Unidos. Sin embargo, más allá de eso, no parece haber un patrón: se sumerge en el comercio minorista y la educación, el transporte y la atención médica, y todo lo demás.
El grupo se especializa en suplantaciones de identidad de terceros, lo que refleja un cambio en BEC en standard. «Desde sus inicios, BEC ha sido sinónimo de suplantación de CEO», señala Hassold. Pero más recientemente, «los actores de amenazas han identificado a terceros como una especie de objetivo fácil en la cadena de ataques B2C. Más de la mitad de los ataques B2C que vemos ahora se hacen pasar por terceros en lugar de empleados internos».
El grado de reconocimiento que Firebrick Ostrich requiere para realizar tal ataque es frustrantemente mínimo. Todo lo que se necesita es comprender que dos organizaciones se conectan entre sí de alguna manera la mayoría de las veces, que una proporciona un producto o servicio a la otra.
Dicha información está disponible públicamente en muchos sitios web gubernamentales. En el comercio, se puede encontrar en el sitio net de un proveedor, en una galería de página de inicio de logotipos de clientes. Si no, una simple búsqueda en Google podría ser suficiente. Es suficiente para continuar, dice Hassold, incluso si «no han comprometido una cuenta o un documento que les brinde información sobre los pagos que van y vienen».
Una vez identificado un proveedor, el grupo registra un dominio world-wide-web comparable y una serie de direcciones de correo electrónico para empleados y ejecutivos imaginarios en el departamento de finanzas del proveedor. «Firebrick Ostrich copia todas las cuentas falsas adicionales en sus correos electrónicos para que parezca que están incluyendo a otros en la conversación», escribieron los investigadores de Irregular Protection en el análisis, «lo que agrega credibilidad y prueba social al mensaje».
Finalmente, el grupo envía el correo electrónico, haciéndose pasar por un especialista en cuentas por pagar, a la división de cuentas por pagar en la organización de destino. La nota generalmente comenzará con algunos halagos, como que el proveedor «lo aprecia mucho como un cliente valioso y queremos agradecerle por su negocio continuo».
Firebrick Ostrich no busca información bancaria de sus víctimas. Más bien, sus operativos solicitan actualizar sus propios datos bancarios (los del «proveedor»), para futuros pagos.
«Estos atacantes están jugando un juego más largo», según el informe, «con la esperanza de que una basic solicitud ahora resulte en un pago a su cuenta redirigida con el próximo pago». El grupo siempre opta por ACH, ya que solo requiere una cuenta y un número de ruta, sin otra información de identificación, para enviar una suma global.
En buena medida, estos correos electrónicos también incluyen una vaga consulta sobre los pagos pendientes.
Lo que es noteworthy en todo esto es lo rápido y fácil que es todo el flujo de ataque. Caso en cuestión: Irregular Security descubrió que en el 75% de los casos, Firebrick Ostrich registró un dominio de proveedor malicioso dentro de los dos días posteriores al envío de un correo electrónico de phishing de apertura, y el 60% de las veces dentro de las 24 horas.
BEC es un gran crimen cibernético
En 2018, el FBI publicó un anuncio de servicio publico sobre una «estafa de 12 mil millones de dólares». Desde octubre de 2013 hasta mayo de 2018, estimó la agencia, las organizaciones de todo el mundo habían perdido alrededor de 12 500 millones de dólares a causa de BEC.
Eso parecía mucho en ese momento. Sin embargo, un año después, los federales publicaron una nueva PSA. Ahora, BEC period un estadio de $ 26 mil millones. Y en 2022, una tercera PSA apareció, declarando a BEC una estafa de $ 43 mil millones.
Estos números pueden incluso estar subestimados, considerando los casos que no se denuncian.
Firebrick Ostrich es un excelente ejemplo de por qué BEC es tan preferred, según Irregular Security: «Han tenido un éxito masivo, incluso sin la necesidad de comprometer cuentas o hacer una investigación profunda sobre la relación proveedor-cliente». Las campañas son efectivas pero rápidas, de bajo esfuerzo, con una barrera de entrada baja.
BEC también puede ser, como lo llama McNee, una «‘droga de entrada’ a otras actividades ilícitas e ilegales» como el ransomware.
«Existe una economía clandestina accesible de proveedores que hace que la toma de command de cuentas sea bastante trivial, por lo que si un mal actor centrado en BEC está interesado en pasar a otras actividades o vender el acceso que obtiene a otros, puede hacerlo fácilmente». Esta relación va en ambos sentidos, con extorsiones dobles de ransomware que alimentan los ataques BEC de seguimiento.
Para evitar un compromiso costoso, Hassold recomienda que las organizaciones «tengan un proceso realmente estructurado y rígido para cualquier transacción financiera. Asegúrese de que el cambio de cuenta se confirme con la parte actual fuera de línea, en un hilo de comunicación separado, antes de implementar el cambio». «
Sobre todo, los empleados deben ser conscientes de las tácticas de phishing. «Una razón clave por la que es difícil defenderse de los ataques BEC», agrega McNee, «es que atacan a las personas y no a la tecnología per se. Todos somos susceptibles a la ingeniería social porque todos somos humanos».
