El fraude por correo electrónico comercial continúa aumentando, con la Oficina Federal de Investigaciones (FBI) reportando más de 21,000 quejas con pérdidas ajustadas de más de $ 2.7 mil millones. Microsoft ha observado un aumento en la sofisticación y las tácticas de los actores de amenazas especializados en el compromiso del correo electrónico empresarial (BEC), incluido el aprovechamiento de las direcciones de protocolo de Internet (IP) residenciales para hacer que las campañas de ataque parezcan generadas localmente.
Esta nueva táctica está ayudando a los delincuentes a monetizar aún más el cibercrimen como servicio (CaaS) y ha llamado la atención de la policía federal porque permite a los ciberdelincuentes evadir las alertas de «viaje imposible» utilizadas para identificar y bloquear intentos de inicio de sesión anómalos y otras actividades sospechosas de la cuenta.
Todos somos defensores de la ciberseguridad.
La Unidad de Delitos Digitales de Microsoft ha observado un aumento del 38 por ciento en el cibercrimen como servicio dirigido al correo electrónico empresarial entre 2019 y 2022.
Información sobre amenazas
Dentro del auge del servicio BEC a escala industrial de BulletProftLink
La actividad cibercriminal en torno al compromiso del correo electrónico empresarial se está acelerando. Microsoft observa una tendencia significativa en el uso de plataformas por parte de los atacantes, como BulletProftLink, una plataforma popular para crear campañas de correo malicioso a escala industrial. BulletProftLink vende un servicio de extremo a extremo que incluye plantillas, alojamiento y servicios automatizados para BEC. Los adversarios que utilizan este CaaS reciben credenciales y la dirección IP de la víctima.
Los actores de amenazas BEC luego compran direcciones IP de servicios de IP residenciales que coinciden con la ubicación de la víctima, creando proxies de IP residenciales que permiten a los ciberdelincuentes enmascarar su origen. Ahora, armados con espacio de direcciones localizado para respaldar sus actividades maliciosas, además de nombres de usuario y contraseñas, los atacantes BEC pueden ocultar movimientos, eludir banderas de «viaje imposible» y abrir una puerta de entrada para realizar más ataques. Microsoft ha observado que los actores de amenazas en Asia y una nación de Europa del Este implementan con mayor frecuencia esta táctica.
Viaje imposible es una detección utilizada para indicar que una cuenta de usuario podría estar comprometida. Estas alertas marcan las restricciones físicas que indican que una tarea se está realizando en dos ubicaciones, sin la cantidad adecuada de tiempo para viajar de una ubicación a otra.
La especialización y consolidación de este sector de la economía del cibercrimen podría escalar el uso de direcciones IP residenciales para evadir la detección. Las direcciones IP residenciales asignadas a ubicaciones a escala brindan la capacidad y la oportunidad para que los ciberdelincuentes reúnan grandes volúmenes de credenciales comprometidas y accedan a cuentas. Los actores de amenazas están utilizando servicios de IP / proxy que los especialistas en marketing y otros pueden usar para la investigación para escalar estos ataques. Un proveedor de servicios IP, por ejemplo, tiene 100 millones de direcciones IP que se pueden rotar o cambiar cada segundo.
Mientras que los actores de amenazas utilizan phishing como servicio como Evil Proxy, Naked Pages y Caffeine para implementar campañas de phishing y obtener credenciales comprometidas, BulletProftLink ofrece un diseño de puerta de enlace descentralizada, que incluye nodos de cadena de bloques públicos de Internet Computer para alojar sitios de phishing y BEC, creando una oferta web descentralizada aún más sofisticada que es mucho más difícil de interrumpir. La distribución de la infraestructura de estos sitios a través de la complejidad y el crecimiento evolutivo de las cadenas de bloques públicas hace que identificarlos y alinear las acciones de eliminación sea más complejo. Si bien puede eliminar un enlace de phishing, el contenido permanece en línea y los ciberdelincuentes vuelven a crear un nuevo enlace al contenido CaaS existente.
Los ataques BEC exitosos cuestan a las organizaciones cientos de millones de dólares al año. En 2022, el Equipo de Activos de Recuperación del FBI inició la Cadena de Eliminación de Fraude Financiero en 2,838 quejas de BEC que involucran transacciones nacionales con pérdidas potenciales de más de $ 590 millones.
Aunque las implicaciones financieras son significativas, los daños a largo plazo más amplios pueden incluir el robo de identidad si la información de identificación personal (PII) se ve comprometida, o la pérdida de datos confidenciales si la correspondencia confidencial o la propiedad intelectual están expuestas en el tráfico malicioso de correo electrónico y mensajes.
El correo electrónico empresarial compromete el correo de phishing por tipo
Los datos representan una instantánea de la suplantación de identidad (phishing) de BEC por tipo desde enero de 2023 hasta abril de 2023
Los principales objetivos de BEC son ejecutivos y otros líderes sénior, gerentes de finanzas, personal de recursos humanos con acceso a registros de empleados como números de Seguro Social, declaraciones de impuestos u otra PII. Los nuevos empleados, tal vez menos propensos a verificar solicitudes de correo electrónico desconocidas, también son el objetivo. Casi todas las formas de ataques BEC están en aumento. Las principales tendencias para BEC dirigido incluyen señuelo, nómina, factura, tarjeta de regalo e información comercial.
Los ataques BEC se distinguen en la industria del cibercrimen por su énfasis en la ingeniería social y el arte del engaño. En lugar de explotar vulnerabilidades en dispositivos sin parches, los operadores de BEC buscan explotar el mar diario de tráfico de correo electrónico y otros mensajes para atraer a las víctimas a proporcionar información financiera, o tomar una acción directa como enviar fondos sin saberlo a cuentas de mulas de dinero, que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.
A diferencia de un ataque de ransomware «ruidoso» con mensajes de extorsión disruptivos, los operadores de BEC juegan un juego de confianza silenciosa utilizando plazos artificiales y urgencia para estimular a los destinatarios, que pueden estar distraídos o acostumbrados a este tipo de solicitudes urgentes. En lugar de malware novedoso, los adversarios de BEC alinean sus tácticas para centrarse en herramientas que mejoren la escala, la plausibilidad y la tasa de éxito de la bandeja de entrada de los mensajes maliciosos.
Aunque ha habido varios ataques de alto perfil que aprovechan las direcciones IP residenciales, Microsoft comparte la preocupación de las fuerzas del orden y otras organizaciones de que esta tendencia se puede escalar rápidamente, lo que dificulta en más casos la detección de actividad con alarmas o notificaciones tradicionales.
Las variaciones en las ubicaciones de inicio de sesión no son inherentemente maliciosas. Por ejemplo, un usuario puede acceder a aplicaciones empresariales con una computadora portátil a través de Wi-Fi local y, simultáneamente, iniciar sesión en las mismas aplicaciones de trabajo en su teléfono inteligente a través de una red celular. Por esta razón, las organizaciones pueden adaptar umbrales de bandera de viaje imposibles en función de su tolerancia al riesgo. Sin embargo, la escala industrial de la dirección IP localizada para los ataques BEC crea nuevos riesgos para las empresas, ya que BEC adaptable y otros atacantes toman cada vez más la opción de enrutar el correo malicioso y otras actividades a través del espacio de direcciones cerca de sus objetivos.
Recomendaciones:
- Maximice la configuración de seguridad protegiendo su bandeja de entrada: Las empresas pueden configurar sus sistemas de correo para marcar los mensajes enviados por terceros. Habilite las notificaciones para cuando no se verifiquen los remitentes de correo. Bloquee a los remitentes con identidades que no puede confirmar de forma independiente y denuncie sus correos como phishing o spam en aplicaciones de correo electrónico.
- Configurar la autenticación segura: Haga que el correo electrónico sea más difícil de comprometer activando la autenticación multifactor, que requiere un código, PIN o huella digital para iniciar sesión, así como su contraseña. Las cuentas habilitadas para MFA son más resistentes al riesgo de credenciales comprometidas e intentos de inicio de sesión de fuerza bruta, independientemente del espacio de direcciones que utilicen los atacantes.
- Capacite a los empleados para detectar señales de advertencia: eduque a los empleados para detectar correos electrónicos fraudulentos y otros correos electrónicos maliciosos, como una falta de coincidencia en el dominio y las direcciones de correo electrónico, y el riesgo y el costo asociados con los ataques BEC exitosos.
Defensa contra ataques
Luchar contra el compromiso del correo electrónico empresarial requiere vigilancia y conciencia
Aunque los actores de amenazas han creado herramientas especializadas para facilitar el BEC, incluidos kits de phishing y listas de direcciones de correo electrónico verificadas dirigidas a líderes de C-Suite, clientes potenciales de cuentas por pagar y otros roles específicos, las empresas pueden emplear métodos para prevenir ataques y mitigar el riesgo.
Por ejemplo, una directiva de «rechazo» de autenticación, generación de informes y conformidad de mensajes basada en dominio (DMARC) proporciona la protección más sólida contra el correo electrónico falsificado, lo que garantiza que los mensajes no autenticados se rechacen en el servidor de correo, incluso antes de la entrega. Además, los informes DMARC proporcionan un mecanismo para que una organización conozca la fuente de una aparente falsificación, información que normalmente no recibirían.
Aunque las organizaciones llevan algunos años administrando fuerzas de trabajo totalmente remotas o híbridas, aún es necesario repensar la conciencia de seguridad en la era del trabajo híbrido. Debido a que los empleados están trabajando con más proveedores y contratistas, recibiendo así más correos electrónicos «vistos por primera vez», es imperativo ser consciente de lo que estos cambios en los ritmos de trabajo y la correspondencia significan para su superficie de ataque.
Los intentos BEC de los actores de amenazas pueden tomar muchas formas, incluidas llamadas telefónicas, mensajes de texto, correos electrónicos o mensajes de redes sociales. La suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son tácticas comunes.
Un buen primer paso defensivo es fortalecer las políticas para los departamentos de contabilidad, controles internos, nómina o recursos humanos sobre cómo responder cuando se reciben solicitudes o notificaciones de cambios relacionados con instrumentos de pago, transferencias bancarias o bancarias. Dar un paso atrás para dejar de lado las solicitudes que sospechosamente no siguen las políticas, o ponerse en contacto con una entidad solicitante a través de su sitio legítimo y representantes, puede salvar a las organizaciones de pérdidas asombrosas.
Los ataques BEC ofrecen un gran ejemplo de por qué el riesgo cibernético debe abordarse de manera multifuncional con ejecutivos y líderes, empleados de finanzas, gerentes de recursos humanos y otros con acceso a registros de empleados como números de Seguro Social, declaraciones de impuestos, información de contacto y horarios, en la mesa junto con los oficiales de TI, cumplimiento y riesgo cibernético.
Recomendaciones:
- Utilice una solución de correo electrónico segura: Las plataformas actuales de nube de correo electrónico utilizan capacidades de inteligencia artificial como el aprendizaje automático para mejorar las defensas, agregando protección avanzada contra phishing y detección de reenvío sospechoso. Las aplicaciones en la nube para el correo electrónico y la productividad también ofrecen las ventajas de las actualizaciones de software continuas y automáticas y la gestión centralizada de las políticas de seguridad.
- Identidades seguras para prohibir el movimiento lateral: La protección de las identidades es un pilar clave para combatir el BEC. Controle el acceso a aplicaciones y datos con Zero Trust y gobierno de identidad automatizado.
- Adopte una plataforma de pago segura: Considere cambiar de facturas enviadas por correo electrónico a un sistema diseñado específicamente para autenticar pagos.
- Haga clic en pausa y use una llamada telefónica para verificar las transacciones financieras: Una conversación telefónica rápida para confirmar que algo es legítimo bien vale la pena, en lugar de asumir con una respuesta rápida o un clic, lo que podría conducir al robo. Establezca políticas y expectativas recordando a los empleados que es importante ponerse en contacto directamente con organizaciones o individuos, y no usar la información suministrada en mensajes sospechosos, para verificar las solicitudes financieras y de otro tipo.
Obtenga más información sobre BEC y los actores de amenazas iraníes con información de Simeon Kakpovi, analista sénior de inteligencia de amenazas.
Instantánea de seguridad
Los datos de instantáneas representan el promedio anual y diario de intentos BEC detectados e investigados por Microsoft Threat Intelligence entre abril de 2022 y abril de 2023. Las eliminaciones únicas de URL de phishing dirigidas por la Unidad de Delitos Digitales de Microsoft son entre mayo de 2022 y abril de 2023.1
35 millones anuales
156.000 diarios
417.678 eliminaciones de URL de phishing
1Metodología: Para los datos de instantáneas, las plataformas de Microsoft, incluidas Microsoft Defender for Office, Microsoft Threat Intelligence y Microsoft Digital Crimes Unit (DCU), proporcionaron datos anónimos sobre vulnerabilidades de dispositivos y datos sobre la actividad y las tendencias de los actores de amenazas. Además, los investigadores utilizaron datos de fuentes públicas, como el Informe de Delitos en Internet 2022 de la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA). La estadística de portada se basa en los compromisos de cibercrimen como servicio de correo electrónico empresarial de Microsoft DCU de 2019 a 2022. Los datos de instantáneas representan los intentos anuales y promedio diarios ajustados de BEC detectados e investigados.
visítanos cade.com.mx
CADE SOLUCIONES 