Ataque BEC, el compromiso de una bandeja de entrada secuestrada

fraud alert round red grunge stamp

Un ataque BEC (Compromiso de Correos Electrónicos Corporativos, por sus siglas en español) se produce cuando un ciberdelincuente utiliza la ingeniería social para obtener acceso a una cuenta de correo electrónico corporativo.

El atacante, una vez dentro, puede enviar mensajes de phishing (suplantación de identidad), spam (basura o no deseado) o programas maliciosos a los destinatarios en nombre de la empresa comprometida. Además, una variante implica el uso de una cuenta con una dirección similar a la de la víctima.

Desde Kaspersky, precisamente, se ha indicado que un ataque BEC no tiene por qué implicar el secuestro de la bandeja de entrada de otro usuario, tomando en cuenta que a veces los ciberdelincuentes intentan hacerse pasar por altos cargos o socios de la compañía con direcciones de terceros.

“No obstante, utilizar la cuenta de correo de un empleado facilita mucho el ataque ya que, después de todo, recibir un mensaje de alguien habitual resulta mucho menos sospechoso”.

El ciberdelincuente, además, debe contar con amplios conocimientos en ingeniería social para que el ataque funcione. Y es que, hacerse pasar por otra persona y convencer a un usuario de que haga algo, no es una tarea fácil.

Una bandeja de entrada secuestrada facilita el trabajo del atacante, de acuerdo a lo publicado en una entrada de blog. Luego de estudiar los contenidos enviados y recibidos, el ciberdelincuente puede imitar el estilo y carácter de la persona con el objetivo de que resulte más convincente.

“En general, las cuentas secuestradas se utilizan para distribuir spam y esquivar los filtros. No obstante, una bandeja de entrada secuestrada se puede utilizar para cosas más desagradables, como un ataque BEC”.

Objetivos de los atacantes

En la publicación se ha referido que Boshoku Corporation, una filial de Toyota, se enfrentó el mes pasado a este tipo de estafa, generándole pérdidas por cuatro mil millones de yenes (más de 37 millones de dólares).

El 6 de septiembre salió a la luz un comunicado oficial de la compañía donde se confirmaba que una serie de ciberdelincuentes anónimos lanzó un ataque BEC. Hasta ahora, la investigación del incidente sigue en curso y todavía no se ha revelado información, “por lo que no podemos afirmar si los atacantes utilizaron la bandeja de entrada o si simplemente se hicieron pasar por otra persona”.

Lo que sí saben en Kaspersky es que las pérdidas se deben a una serie de instrucciones fraudulentas de transferencia bancaria que alguien de la compañía interpretó como legítimas.

“Inmediatamente después de la transferencia, los expertos de seguridad de Toyota se percataron de que el dinero había acabado en cuentas externas a la compañía, pero ya era demasiado tarde para cancelar la transferencia. Actualmente, la empresa sigue trabajando para recuperar los fondos”.

Sin embargo, desde la compañía de ciberseguridad se ha apuntado que el objetivo de un ataque BEC no siempre es una transferencia de fondos (convencer a alguien para que envíe millones de dólares no es nada fácil). “Es mucho más común que los atacantes intenten extraer datos confidenciales de la víctima”.

De hecho, se ha comentado que el ataque a Toyota no es en absoluto el primer caso de este tipo, ya que este año han conocido sobre una estrategia que tiene como objetivo hacerse con las cuentas de empleados.

Un grupo de ciberdelincuentes engañó a un club de fútbol en mayo para que utilizara información de pago incorrecta en el traspaso de un jugador. El mes pasado, estafadores también intentaron robar 2,9 millones de dólares a Escuelas Públicas de Portland (Oregón).

“En julio, el organismo Escuelas del Condado de Cabarrus (Carolina del Norte) perdió 1,7 millones de dólares tras recibir instrucciones falsas por correo electrónico. En primer lugar, el personal transfirió 2,5 millones de dólares, supuestamente para la construcción de una nueva escuela, pero después recuperó parte de los fondos”.

Evitar un ataque BEC

Para los expertos de Kaspersky, los medios técnicos no son suficientes para protegerse de la ingeniería social, sobre todo si los atacantes son una serie de profesionales con acceso al buzón real de la persona por la que se intenta hacer pasar.

Por tanto, se ha recomendado una serie de consejos para evitar la estafa, comenzando por modificar el procedimiento de las transferencias de fondos de la empresa para que ningún empleado pueda realizarlas a una cuenta de terceros sin supervisión y asegurarse de que los movimientos de grandes cantidades de dinero los autoricen varios directivos.

“Muestra a tus empleados los principios básicos de ciberseguridad y aconséjales que se muestren escépticos con los mensajes entrantes. Nuestros programas de concienciación de seguridad podrán asistirte durante este proceso”.

Igualmente, se debe evitar llegar al punto de una bandeja de entrada secuestrada con una protección antiphishing a nivel del servidor del correo. “Por ejemplo, instala Kaspersky Endpoint Security for Business Advanced”.