Archivo de etiquetas para: Ataque BEC

¿Qué es el compromiso del correo electrónico empresarial?

Saltando directamente a la definición de lo que es Business Email Compromise: Business Email Compromise (BEC) se produce cuando un hacker accede a una cuenta de correo electrónico de la empresa y asume la identidad del titular de la cuenta para cometer un fraude contra la empresa. Tomando la cuenta de correo electrónico de la víctima es de confianza.

Un atacante suele crear una cuenta con una dirección de correo electrónico casi idéntica a la de la red de la empresa. El BEC también se ha denominado "ataque del hombre en el correo electrónico".

No es de extrañar que el FBI haya clasificado el Business Email Compromise (BEC) como una "estafa de 26 millones de dólares", dado el coste medio para las empresas de 5,01 millones de dólares por infraccióny la amenaza no hace más que crecer. Los ataques de Business Email Compromise (BEC) se dirigen a empleados que utilizan direcciones de correo electrónico empresariales ficticias o legítimas. En 1.800 millones de dólares fueron ganados por los estafadores BEC en 2020, más que cualquier otra forma de ciberdelincuencia.

¿Qué es el compromiso del correo electrónico empresarial y cómo funciona?

En un ataque BEC, los actores de la amenaza se hacen pasar por trabajadores o socios de confianza. Persuaden a la víctima para que realice una acción, como dar acceso a información confidencial o enviar dinero. Los actores de la amenaza siguen teniendo éxito a pesar del mayor conocimiento del compromiso del correo electrónico empresarial.

La frecuencia de estos asaltos dirigidos a consumidores anormales aumentó un impresionante 84% durante el primer y el segundo semestre de 2021. A pesar de ello, en el segundo semestre de 2021, la tasa de asaltos aumentó a 0,82 por cada mil buzones.

¿Cuáles son los principales tipos de ataques que comprometen el correo electrónico de las empresas?

Según el FBI, los principales tipos de estafas BEC son:

Falsas organizaciones benéficas

En los ataques BEC, una de las formas más comunes consiste en el envío de correos electrónicos de falsas organizaciones benéficas que afirman estar recaudando dinero para una causa digna. Estos correos electrónicos suelen incluir archivos adjuntos que contienen software malicioso diseñado para infectar los ordenadores con virus y otros programas maliciosos.

Problemas de viaje

Otra estafa habitual de los BEC consiste en el envío de correos electrónicos de falsas agencias de viajes que afirman que ha habido un problema con su reserva de vuelo u hotel, normalmente porque alguien ha cancelado su reserva en el último momento. El correo electrónico le pedirá que actualice su folleto de viaje haciendo clic en un archivo adjunto o enlace incluido en el mensaje. Si lo hace, podría instalar inadvertidamente malware en su ordenador o permitir a los piratas informáticos acceder a datos confidenciales almacenados en su dispositivo.

Amenazas fiscales

Este ataque implica la amenaza de un organismo gubernamental de emprender acciones legales u oficiales si las víctimas no pagan dinero. Estas estafas suelen incluir facturas falsas y solicitudes de pago para evitar consecuencias legales.

Suplantación de Abogados

Estos correos electrónicos afirman que un abogado necesita su ayuda con un asunto legal, ya sea que haya sido arrestado o que esté tratando de cobrar el dinero que le debe otra persona. En estos casos, los estafadores piden tus datos personales para poder "ayudar" con el asunto legal en cuestión (como devolver el dinero).

La trama de las facturas falsas

En esta estafa, una empresa envía una factura a otra, normalmente por una cantidad importante. En la factura se indica que el receptor debe dinero por servicios o artículos que no ha recibido. Es posible que se les pida que envíen dinero para pagar la factura falsa.

Robo de datos

Esta estafa consiste en robar datos sensibles de su empresa y venderlos a la competencia o a otras partes interesadas. Los ladrones también pueden amenazar con publicar tus datos si no accedes a sus demandas.

¿Cómo funcionan los ataques BEC?

Así es como funcionan los ataques BEC:

Cuenta de correo electrónico o sitio web falsificados: el atacante falsificará una dirección de correo electrónico o un sitio web que parezca legítimo. Enviará uno o más correos electrónicos de phishing desde esta cuenta solicitando información financiera, como números de cuentas bancarias y PIN. El uso de DMARC puede ayudarle a evitar que los hackers suplanten su dominio.
Correos electrónicos de Spear Phishing - Los correos electrónicos de Spear Phishing son correos electrónicos muy específicos enviados directamente a un empleado en su lugar de trabajo. A menudo se disfrazan de comunicaciones internas de alguien de la empresa (por ejemplo, un ejecutivo), y contienen líneas de asunto como "transferencia urgente" o "factura urgente" que solicitan datos sensibles inmediatamente.
Uso de software malicioso: los atacantes pueden instalar software malicioso (malware) en el ordenador de la víctima y utilizarlo para rastrear su actividad, capturar las pulsaciones del teclado o hacer capturas de pantalla. Los keyloggers pueden incluso instalarse en los sistemas informáticos si el atacante tiene acceso físico a ellos.

¿Qué hacer para evitar el compromiso del correo electrónico empresarial?

Un ataque BEC exitoso puede costar mucho dinero a una empresa y causar un daño significativo. Sin embargo, se pueden prevenir estos ataques siguiendo unos sencillos pasos, como por ejemplo:

1. Proteja su dominio con DMARC

Estos correos electrónicos BEC se pueden bloquear utilizando DMARC. Una organización puede identificar qué fuentes están enviando correos electrónicos en nombre de su dominio a través de la verificación del remitente y la alineación del dominio mediante el uso del protocolo, junto con una mayor visibilidad de sus canales de correo electrónico. Las organizaciones pueden asegurarse de que todas las fuentes fiables están correctamente validadas utilizando esta información. Una organización puede implementar una política p=reject política DMARCy si todas las fuentes legítimas han sido completamente autenticadas.

Con esta política, todos los correos electrónicos maliciosos serán rechazados y ya no llegarán a la bandeja de entrada del destinatario, con lo que se reduce el riesgo de que lleguen a sus clientes correos electrónicos comprometidos con la empresa.

2. Protecciones contra la suplantación de identidad

Utilice un software antiphishing que analice los correos electrónicos entrantes en busca de enlaces y archivos adjuntos maliciosos que puedan infectar su red.

3. Separación de funciones

Asegúrese de que las funciones críticas no sean realizadas por una sola persona. Esto reduce el riesgo de que un empleado sea coaccionado para realizar acciones no autorizadas.

4. Etiquetado de correos electrónicos externos

Asegúrese de que todos los correos electrónicos externos se etiquetan como tales o se reenvían a través de una pasarela de correo electrónico segura para que no parezca que se envían directamente desde la red de su organización.

5. Examine cuidadosamente la dirección de correo electrónico

Examine cuidadosamente la dirección de correo electrónico. Si es de alguien que conoces, abre el correo y léelo. Si es de alguien que no conoce, pregunte por qué se pone en contacto con usted. Comprueba también que el asunto del correo electrónico contiene información sobre el mismo. El asunto debe coincidir con lo que hay en tu bandeja de entrada.

6. Eduque a sus empleados

La mejor defensa contra los ataques BEC es la educación de los empleados. Hay que enseñar a los empleados la amenaza de los BEC, cómo funcionan y cómo pueden ser el objetivo. También deben conocer las políticas de la empresa sobre el uso del correo electrónico empresarial y los usuarios autorizados del mismo.

Conclusión

Las estafas de Compromiso del Correo Electrónico Empresarial se escabullen incluso de las medidas de seguridad más avanzadas, y suelen atrapar a un director general o financiero desprevenido con un solo correo electrónico. En definitiva, el BEC es un vector de ataque realmente insidioso que sigue siendo frecuente en el mundo empresarial. Y eso significa que hay que tenerlo muy en cuenta.

Utilice el analizador DMARC de PowerDMARC para garantizar la entrega de los correos electrónicos de su dominio y evitar el envío de correos falsos. Cuando dejas de hacer spoofing, estás haciendo algo más que proteger tu marca. Estás asegurando la supervivencia de tu negocio.

18 de octubre de 2022/por Ahona Rudra

¿Cómo combatir el compromiso del correo electrónico empresarial (BEC) con la autenticación del correo electrónico?

Blogs

Una forma de ciberdelincuencia en constante evolución y desenfrenada que tiene como objetivo el correo electrónico como medio potencial para llevar a cabo el fraude se conoce como Business Email Compromise. Dirigidos a organizaciones comerciales, gubernamentales y sin ánimo de lucro, los ataques BEC pueden provocar enormes pérdidas de datos, violaciones de la seguridad y el compromiso de los activos financieros. Es un error común pensar que los ciberdelincuentes suelen centrarse en las multinacionales y las organizaciones de nivel empresarial. Hoy en día, las PYMES son un objetivo del fraude por correo electrónico, al igual que las grandes empresas del sector.

¿Cómo puede afectar el BEC a las organizaciones?

Entre los ejemplos de ataques BEC se encuentran sofisticados ataques de ingeniería social como el phishing, el fraude a los directores generales, las facturas falsas y la suplantación de correos electrónicos, por nombrar algunos. También se puede denominar como un ataque de suplantación de identidad en el que un atacante pretende estafar a una empresa, haciéndose pasar por personas con cargos de autoridad. Hacerse pasar por personas como el director financiero o el director general, un socio comercial o cualquier persona en la que se confíe ciegamente, es lo que impulsa el éxito de estos ataques.

Febrero de 2021 capturó las actividades de la ciberbanda rusa Cosmic Lynx, ya que adoptaron un enfoque sofisticado hacia BEC. El grupo ya había sido vinculado a la realización de más de 200 campañas BEC desde julio de 2019, dirigidas a más de 46 países de todo el mundo, centrándose en multinacionales gigantes que tienen una presencia global. Con correos electrónicos de phishing extremadamente bien escritos, están haciendo que sea imposible para las personas diferenciar entre mensajes reales y falsos.

El trabajo a distancia ha convertido a las aplicaciones de videoconferencia en entidades indispensables, después de la pandemia. Los ciberdelincuentes se están aprovechando de esta situación enviando correos electrónicos fraudulentos que suplantan una notificación de la plataforma de videoconferencia, Zoom. El objetivo es robar las credenciales de acceso para llevar a cabo violaciones masivas de los datos de las empresas.

Está claro que la relevancia de los BEC está saliendo a la luz y aumentando en los últimos tiempos, con actores de amenazas que están ideando formas más sofisticadas e innovadoras de salirse con la suya. Los ataques BEC afectan a más del 70% de las organizaciones de todo el mundo y provocan la pérdida de miles de millones de dólares cada año. Por ello, los expertos del sector están ideando protocolos de autenticación de correo electrónico como DMARC, para ofrecer un alto nivel de protección contra la suplantación de identidad.

¿Qué es la autenticación del correo electrónico?

La autenticación del correo electrónico se puede denominar como un conjunto de técnicas desplegadas para proporcionar información verificable sobre el origen de los correos electrónicos. Esto se hace autenticando la propiedad del dominio del agente o agentes de transferencia de correo que participan en la transferencia del mensaje.

El Protocolo Simple de Transferencia de Correo (SMTP), que es el estándar de la industria para la transferencia de correo electrónico, no tiene esta característica incorporada para la autenticación de mensajes. Por ello, explotar la falta de seguridad se convierte en algo extremadamente fácil para que los ciberdelincuentes lancen ataques de phishing de correo electrónico y de suplantación de dominio. Esto pone de manifiesto la necesidad de contar con protocolos de autenticación de correo electrónico eficaces, como DMARC, que realmente cumplen con lo que dicen.

Pasos para prevenir un ataque BEC con DMARC

Paso 1: Aplicación

El primer paso para combatir los ataques BEC es configurar DMARC para su dominio. El DMARC (Domain-based Message Authentication, Reporting and Conformance) utiliza los estándares de autenticación SPF y DKIM para validar los correos electrónicos enviados desde su dominio. Especifica a los servidores receptores cómo responder a los correos electrónicos que no superan una o ambas comprobaciones de autenticación, lo que da al propietario del dominio el control sobre la respuesta del receptor. Por lo tanto, para implementar DMARC, necesitaría:

Identifique todas las fuentes de correo electrónico válidas autorizadas para su dominio
Publique el registro SPF en su DNS para configurar el SPF para su dominio
Publique el registro DKIM en su DNS para configurar DKIM para su dominio
Publique el registro DMARC en su DNS para configurar DMARC para su dominio

Para evitar complejidades, puede utilizar las herramientas gratuitas de PowerDMARC (generador de registros SPF gratuito, generador de registros DKIM gratuito, generador de registros DMARC gratuito) para generar registros con la sintaxis correcta, al instante, para publicarlos en el DNS de su dominio.

Paso 2: Aplicación de la ley

Su política DMARC se puede configurar para:

p=none (DMARC sólo en la supervisión; los mensajes que no se autentiquen se seguirán entregando)
p=cuarentena (DMARC en aplicación; los mensajes que no se autentiquen se pondrán en cuarentena)
p=reject (DMARC al máximo; los mensajes que no se autentiquen no se entregarán en absoluto)

Le recomendamos que empiece a utilizar DMARC con una política que permita sólo la supervisión, para que pueda controlar el flujo de correo electrónico y los problemas de entrega. Sin embargo, esta política no proporcionaría ninguna protección contra BEC. Por este motivo, en algún momento tendrá que cambiar a la aplicación de DMARC. PowerDMARC le ayuda a pasar sin problemas de la supervisión a la aplicación en un instante con una política de p=reject que ayudará a especificar a los servidores receptores que un correo electrónico enviado desde una fuente maliciosa utilizando su dominio no se entregará a la bandeja de entrada de su destinatario en absoluto.

Paso 3: Control e informes

Usted ha establecido su política DMARC en la aplicación y ha minimizado con éxito el ataque BEC, pero ¿es eso suficiente? La respuesta es no. Sigue necesitando un mecanismo de información amplio y eficaz para supervisar el flujo de correo electrónico y responder a cualquier problema de entrega. La plataforma SaaS multi-tenant de PowerDMARC le ayuda:

mantenga el control de su dominio
supervisar visualmente los resultados de la autenticación de cada correo electrónico, usuario y dominio registrado por usted
eliminar las direcciones IP abusivas que intentan hacerse pasar por su marca

Los informes DMARC están disponibles en el panel PowerDMARC en dos formatos principales:

Informes agregados de DMARC (disponibles en 7 vistas diferentes)
Informes forenses DMARC (con encriptación para mejorar la privacidad)

La culminación de la implantación de DMARC, su aplicación y la elaboración de informes le ayudan a reducir drásticamente las posibilidades de ser presa de ataques BEC y de suplantación de identidad.

Con los filtros antispam, ¿sigo necesitando DMARC?

Sí. DMARC funciona de forma muy diferente a los filtros antispam y las pasarelas de seguridad de correo electrónico habituales. Aunque estas soluciones suelen venir integradas con sus servicios de intercambio de correo electrónico basados en la nube, sólo pueden ofrecer protección contra los intentos de phishing entrantes. Los mensajes enviados desde su dominio siguen estando bajo la amenaza de la suplantación de identidad. Aquí es donde DMARC entra en acción.

Consejos adicionales para mejorar la seguridad del correo electrónico

Manténgase siempre por debajo del límite de 10 búsquedas de DNS

Exceder el límite de búsqueda de SPF 10 puede invalidar completamente su registro SPF y hacer que incluso los correos electrónicos legítimos fallen la autenticación. En estos casos, si tiene su DMARC configurado para rechazar, los correos electrónicos auténticos no se entregarán. PowerSPF es su aplanador de registros SPF automático y dinámico que mitiga el permerror SPF ayudándole a mantenerse por debajo del límite duro SPF. Actualiza automáticamente los bloqueos de red y escanea los cambios realizados por sus proveedores de servicios de correo electrónico en sus direcciones IP constantemente, sin ninguna intervención por su parte.

Garantizar el cifrado TLS de los correos electrónicos en tránsito

Aunque DMARC puede protegerle de los ataques de ingeniería social y BEC, aún necesita prepararse contra los ataques de vigilancia generalizada como el Man-in-the-middle (MITM). Para ello, asegúrese de que se negocia una conexión segura mediante TLS entre servidores SMTP cada vez que se envía un correo electrónico a su dominio. El MTA-STS alojado de PowerDMARC hace que el cifrado TLS sea obligatorio en SMTP y viene con un sencillo procedimiento de implementación.

Obtenga informes sobre problemas en la entrega del correo electrónico

También puede habilitar los informes SMTP TLS para obtener informes de diagnóstico sobre los problemas de entrega del correo electrónico después de configurar el MTA-STS para su dominio. TLS-RPT le ayuda a obtener visibilidad en su ecosistema de correo electrónico, y a responder mejor a los problemas en la negociación de una conexión segura que conducen a fallos de entrega. Los informes TLS están disponibles en dos vistas (informes agregados por resultado y por fuente de envío) en el panel de control de PowerDMARC.

Amplifique el recuerdo de su marca con BIMI

Con BIMI (Indicadores de Marca para la Identificación de Mensajes) puedes llevar el recuerdo de tu marca a un nivel completamente nuevo ayudando a tus destinatarios a identificarte visualmente en sus bandejas de entrada. BIMI funciona adjuntando el logotipo de su marca única a cada correo electrónico que envíe desde su dominio. PowerDMARC facilita la implementación de BIMI con sólo 3 sencillos pasos por parte del usuario.

PowerDMARC es su destino único para una serie de protocolos de autenticación de correo electrónico, incluyendo DMARC, SPF, DKIM, BIMI, MTA-STS y TLS-RPT. Regístrese hoy mismo para obtener una prueba gratuita de DMARC Analyzer.

23 de febrero de 2021/por Ahona Rudra