Seguridad cibernética

Instrucciones de ataque de Business Email Compromise (BEC): Usted es

0 0 4 minutos de lectura
Business Email Compromise (BEC) Attacks Explained: Are You at Risk?

El correo electrónico ha existido durante más de 40 años, y parece que los intentos de piratear cuentas de correo electrónico están casi tan presentes.

Así como el volumen de mensajes continúa creciendo (alrededor de 330 mil millones de mensajes se envían todos los días, frente a los 270 mil millones de hace cinco años), también lo hacen la frecuencia y la sofisticación de los ataques. Uno de los atacantes más graves se conoce como ataque de compromiso de correo electrónico empresarial (BEC).

¿Qué es un ataque Business Email Compromise (BEC)?

Un ataque BEC es una forma sofisticada de ingeniería social en la que un atacante envía mensajes que parecen ser de un ejecutivo dentro de una empresa. El objetivo de tales ataques de phishing es engañar a las víctimas para que envíen fondos a cuentas controladas por los atacantes.

Una vez que los atacantes comienzan a enviar solicitudes de pago falsas, son difíciles de detectar. Entonces, una mejor estrategia es evitar que obtengan acceso en primer lugar. (Lea también: Las mejores formas de combatir los ataques de ransomware en 2023.)

Según el FBI, en 2023, los ciberdelincuentes utilizaron servicios de correo electrónico basados ​​en la nube para robar más de $ 2 mil millones de empresas estadounidenses, y se determinó que la mitad de los incidentes estaban relacionados con BEC.

Dos tercios de los ataques BEC se dirigieron a sistemas de correo electrónico basados ​​en la nube, y el 98 % apuntó a vulnerabilidades en Office 365.

LEER
Cómo proteger la infraestructura crítica de los ciberataques

¿Cómo funciona un ataque de intrusión de correo electrónico empresarial?

Durante el apogeo de la pandemia, muchas empresas implementaron políticas de acceso condicional para proteger sus redes de ataques de phishing mientras las personas trabajaban desde casa. Incluso si un atacante roba o adivina la contraseña de un usuario legítimo, solo puede iniciar sesión desde una ubicación específica, determinada por su dirección IP.

En el mismo informe de fin de año, aproximadamente la mitad de los ataques BEC descubiertos en 2023 fueron bloqueados por dichas políticas de acceso condicional. El resto usa VPN para eludir estas políticas y falsificar la ubicación física del atacante. Desde 2023, los investigadores han encontrado un aumento del 50 por ciento en la cantidad de personas que acceden a cuentas comprometidas utilizando VPN y proveedores de alojamiento. (Lea también: Un modelo de confianza cero es mejor que una VPN.Es por eso.)

Publicaciones relacionadas

El año pasado, 1 de cada 10 ataques evadió con éxito la débil protección de autenticación multifactor (MFA), accediendo a los buzones de correo usando protocolos heredados que no admiten MFA o usando ataques de phishing para dirigir a las víctimas a páginas de autenticación falsas de Okta o OneLogin.

Luego, el atacante pasa el código de autenticación robado a la página real de Okta o OneLogin, utilizando un clásico ataque de hombre en el medio para obtener acceso a su cuenta.

Ejemplo de un ataque BEC

Incluso organizaciones con operaciones de seguridad sofisticadas han sido víctimas de ataques BEC. De hecho, los empleados de dos empresas tecnológicas muy conocidas han sufrido la mayor estafa BEC de la que se ha informado públicamente.

Durante un período de tres años, un ladrón lituano llamado Evaldas Rimasauskas engañó a los empleados de Facebook y Google para que le enviaran más de 120 millones de dólares. Hizo esto creando un fabricante de computadoras portátiles falso con el mismo nombre que el real, y luego hizo que esas compañías le pagaran facturas falsas mediante transferencia bancaria. (En 2023, Rimasaukas fue sentenciado a cinco años en una prisión federal).

No son solo los dos gigantes tecnológicos. Toyota, el gobierno de Puerto Rico, la ciudad de Saskatoon, la cadena de cines francesa Pathé y miles más fueron víctimas.

¿Moralidad? Si estas organizaciones pueden ser estafadas por estafadores de BEC, la suya también.

¿Quién es más vulnerable a los ataques BEC?

La gran mayoría de los ataques BEC detectados el año pasado se dirigieron a Office 365. Menos del 1 por ciento de los ataques se dirigieron a Gmail. La razón tiene que ver con cómo se configuran estos sistemas de correo electrónico.

En Office 365 Exchange, los protocolos IMAP y POP3 están habilitados de forma predeterminada. Ninguno de estos protocolos heredados admite la autenticación multifactor (MFA). Office 365 también es compatible con la autenticación básica, lo que permite a los usuarios acceder a sus bandejas de entrada almacenando su nombre de usuario y contraseña en el dispositivo. Esto deja las cuentas vulnerables a la difusión de contraseñas o ataques de fuerza bruta.

Google Workspace, por otro lado, desactiva estas funciones de forma predeterminada, pero puede activarlas si realmente lo desea. (¿Nuestro consejo? No lo hagas).

Incluso Microsoft finalmente decidió deshabilitar la autenticación básica a partir de octubre de 2023. Pero eso aún les da a los atacantes seis meses para interrumpir su negocio.

Cómo prevenir ataques BEC y limitar el riesgo

Hay algunas cosas que puede hacer para reducir su exposición a los ataques BEC, especialmente si su organización usa Office 365:

  1. Deshabilite el acceso a protocolos más antiguos que no admiten varios métodos de autenticación. Esto incluye POP 3, IMAP y Autenticación Básica.
  2. Implemente niveles más altos de acceso condicional para los empleados que son objetivos fáciles para los atacantes. Por ejemplo, esto podría significar la alta gerencia o alguien con acceso a datos confidenciales o de propiedad exclusiva.
  3. Implementar MFA. Pero asegúrese de implementar una clave de seguridad antiphishing que sea compatible con la alianza FIDO (Fast ID Online). Las claves FIDO evitan los ataques de intermediarios al autenticar el navegador utilizado para ingresar las credenciales del usuario. (Lea también: Diez prácticas recomendadas para la gestión de claves de cifrado y la seguridad de los datos.)
  4. Implemente la función de autenticación adaptativa de múltiples factores (AMFA) de Okta. AMFA puede detectar y bloquear intentos de autenticación sospechosos (también conocidos como «viajes imposibles») que involucren ubicaciones inusuales, nuevos dispositivos o intentos de inicio de sesión desde dos sitios remotos el mismo día.
  5. Tenga cuidado con la actividad de autenticación sospechosa. Azure AD Identity Protection y Microsoft Defender para aplicaciones en la nube son excelentes herramientas. Le permiten monitorear los patrones de autenticación comunes de sus empleados y marcar comportamientos atípicos, lo que podría indicar que hay un ataque en curso y es necesario cambiar la contraseña de un empleado.

En conclusión

Mientras los ataques BEC continúen generando miles de millones de dólares en ganancias para los ciberdelincuentes, solo aumentarán. A medida que la industria avance hacia la «seguridad predeterminada», también aumentarán los ataques a la seguridad MFA. Tomar medidas básicas para evitar filtraciones de correo electrónico ahora es su mejor opción para evitar algunas repercusiones costosas en el futuro.

LEER
El futuro de la piratería está aquí
Etiquetas
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba