Trace Id is missing

Las tácticas de desplazamiento impulsan un aumento en el compromiso de correo empresarial

Cyber Signals edición 4: El juego de la confianza

El fraude por correo empresarial continúa aumentando y, según el FBI, se han producido más de  21 000 denuncias con pérdidas ajustadas superiores a 2700 millones de USD. Microsoft ha observado un aumento en la sofisticación y las tácticas de los agentes malintencionados que se especializan en el compromiso de correo empresarial (BEC), por ejemplo, el uso de direcciones de protocolo de Internet (IP) residenciales para que las campañas de ataque parezca que se han generado localmente.

Esta nueva táctica ayuda a los delincuentes a monetizar aún más el Ciberdelito como servicio (CaaS) y ha llamado la atención de las fuerzas de seguridad federales porque permite a los ciberdelincuentes eludir las alertas de “viaje imposible” que se utilizan para identificar y bloquear intentos de inicio de sesión anómalos y otras actividades de cuentas sospechosas.

Todos somos defensores de la ciberseguridad.
La Unidad de crímenes digitales de Microsoft ha observado un aumento del 38 por ciento en el Ciberdelito como servicio que tiene como objetivo el correo empresarial entre 2019y 2022.

El aumento del servicio BEC a escala industrial de BulletProftLink

La actividad ciberdelincuente del compromiso de correo empresarial aumenta cada vez más rápido. Microsoft ha observado una tendencia importante en el uso de plataformas de los atacantes, como BulletProftLink, una conocida plataforma para crear campañas de correo malintencionado a escala industrial. BulletProftLink vende un servicio integral que incluye plantillas, hospedaje y servicios automatizados para BEC. Los atacantes que utilizan este CaaS reciben credenciales y la dirección IP de la víctima.

A continuación, los agentes malintencionados de BEC compran direcciones IP de servicios de IP residenciales que coinciden con la ubicación de la víctima, para crear proxies IP residenciales que permiten a los ciberdelincuentes ocultar su origen. Armados con un espacio de direcciones localizadas para ejercer sus actividades maliciosas, además de los nombres de usuario y las contraseñas, los atacantes de BEC ahora pueden ocultar movimientos, eludir etiquetas de “viaje imposible” y abrir una puerta de enlace para realizar otros ataques. Microsoft ha observado que los agentes malintencionados de Asia y Europa del Este son los que más implementan esta táctica.

El viaje imposible es una detección que se utiliza para indicar que una cuenta de usuario puede estar en peligro. Estas alertas etiquetan restricciones físicas que indican que una tarea se está ejecutando en dos ubicaciones, sin la cantidad de tiempo adecuada para viajar de una ubicación a otra.

La especialización y la consolidación de este sector de la economía del ciberdelito puede escalar el uso de direcciones IP residenciales para evitar su detección. Las direcciones IP residenciales asignadas a ubicaciones a escala proporcionan a los ciberdelincuentes la capacidad y la oportunidad de recopilar grandes volúmenes de credenciales y cuentas de acceso en peligro. Los agentes malintencionados utilizan los servicios de IP/proxy que los vendedores y otros puedan utilizar en su investigación para escalar estos ataques. Por ejemplo, un proveedor de servicios de IP tiene 100 millones de direcciones IP que pueden rotarse o modificarse cada segundo.

Mientras que los agentes malintencionados utilizan plataformas de “phishing como servicio” como Evil Proxy, Naked Pages y Caffeine para implementar campañas de phishing y obtener credenciales comprometidas, BulletProftLink ofrece un diseño descentralizado de puerta de enlace, que incluye nodos de cadena de bloques públicos de Internet Computer para hospedar sitios de phishing y BEC, lo que crea una oferta web descentralizada aún más sofisticada que es mucho más difícil de interrumpir. La distribución de la infraestructura de estos sitios con la complejidad y el crecimiento continuo de las cadenas de bloques públicas hace que sea mucho más complejo identificarlos y diseñar acciones para retirarlos. Aunque se puede eliminar un vínculo de phishing, el contenido permanece online y los ciberdelincuentes vuelven a crear un nuevo vínculo al contenido de CaaS existente.

Los ataques de BEC de éxito cuestan a las organizaciones cientos de millones de dólares al año. En 2022, el Equipo de recuperación de activos del FBI inició la Cadena de ataque al fraude financiero en 2838 denuncias de BEC que implicaban transacciones nacionales con una pérdida potencial de más de 590 millones de USD.

Aunque las implicaciones financieras son significativas, los daños a largo plazo pueden incluir el robo de identidad si la información de identificación personal (PII) se ve comprometida, o la pérdida de datos confidenciales si hay datos de propiedad intelectual o correspondencia confidencial expuestos en el tráfico de mensajes y correos electrónicos maliciosos.

Correos de phishing por tipos

Gráfico circular que muestra el desglose porcentual de los distintos tipos de correos de phishing que se utilizan en los ataques de Compromiso de correo empresarial. El Engaño es el tipo más común con un 62,35 %, seguido de las Nóminas (14,87 %), las Facturas (8,29 %), las Tarjetas regalo (4,87 %), Información de la empresa (4,4 %) y Otros (5,22 %).
Los datos representan una instantánea del phishing de BEC por tipos desde enero de 2023 a abril de 2023. Obtenga más información sobre esta imagen en la página 4 del  informe completo.

Los principales objetivos de BEC son los ejecutivos y otros líderes de alto nivel, directores financieros y el personal de recursos humanos con acceso a registros de empleados como números del seguro social, declaraciones de impuestos y otros PII. También son un objetivo los nuevos empleados, que es menos probable que verifiquen las solicitudes de correo extrañas. Prácticamente todas las formas de ataques de BEC están en alza. Las principales tendencias de objetivos de BEC incluyen el engaño, las nóminas, las facturas, las tarjetas regalo y la información de la empresa.

Los ataques de BEC destacan en el sector del ciberdelito debido a su énfasis en la ingeniería social y el arte del engaño. En lugar de explotar las vulnerabilidades de los dispositivos sin revisiones, los operadores de BEC intentan aprovecharse del enorme tráfico diario de correos electrónicos y otros mensajes para inducir a las víctimas a facilitar información financiera o a realizar una acción directa, como enviar fondos sin saberlo a cuentas de mulas de dinero, que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.

A diferencia de un “ruidoso” ataque de ransomware, que incluye mensajes de extorsión perturbadores, los operadores de BEC participan en un juego de confianza silencioso, y utilizan la urgencia y fechas límite ficticias para poner nerviosos a los destinatarios, que pueden estar distraídos o acostumbrados a estos tipos de peticiones urgentes. En lugar de nuevo malware, los atacantes de BEC alinean sus tácticas para centrarse en herramientas que mejoran la escala, la plausibilidad y la tasa de éxito en la bandeja de entrada de los mensajes maliciosos.

Aunque se han producido varios ataques de gran repercusión que utilizan direcciones IP residenciales, Microsoft comparte la preocupación de las fuerzas de seguridad y otras organizaciones de que esta tendencia pueda escalarse rápidamente, dificultando aún más la detección de la actividad con alarmas o notificaciones tradicionales.

La variedad de ubicaciones de inicio de sesión no es inherentemente maliciosa. Por ejemplo, un usuario puede acceder a aplicaciones empresariales con un portátil en una Wi-Fi local y simultáneamente haber iniciado sesión en las mismas aplicaciones de trabajo en su teléfono a través de la red de datos. Por este motivo, las organizaciones pueden adaptar umbrales de etiquetas de viaje imposible en función de su tolerancia a riesgos. No obstante, la escala industrial de las direcciones IP localizadas para los ataques de BEC crea nuevos riesgos para las empresas, ya que los atacantes de BEC adaptables y de otro tipo eligen cada vez más la opción de enrutar el correo malicioso y otras actividades a través de un espacio de direcciones próximo a sus objetivos.

Recomendaciones:

  • Maximice los ajustes de seguridad que protegen tu bandeja de entrada: Las empresas pueden configurar sus sistemas de correo para etiquetar los mensajes enviados desde partes externas. Habilite notificaciones en el caso de que los remitentes de los correos no estén verificados. Bloquee a los remitentes con identidades que no pueda confirmar de manera independiente y denuncie sus correos como correo no deseado o de phishing en las aplicaciones de correo electrónico.
  • Configure una autenticación segura: Haga que su correo electrónico sea más difícil de atacar activando la autenticación multifactor, que requiere un código, PIN o huella digital para iniciar una sesión, además de su contraseña. Las cuentas habilitadas para MFA son más resistentes al riesgo de credenciales comprometidas e intentos de inicio de sesión de fuerza bruta, independientemente del espacio de direcciones que utilicen los atacantes.
  • Forme a los empleados para detectar las señales de advertencia: Entrene a los empleados para detectar los correos electrónicos fraudulentos y malintencionados, por ejemplo, una discrepancia entre las direcciones de correo electrónico y el dominio, y explíqueles el riesgo y el coste asociados con el éxito de los ataques de BEC.

Luchar contra el Compromiso de correo empresarial requiere concienciación y vigilancia

Aunque los agentes malintencionados han creado herramientas especializadas para facilitar el BEC, por ejemplo, kits de phishing y listas de direcciones de correo electrónico verificadas dirigidas a líderes del equipo de dirección, los responsables de cuentas por pagar y otras funciones específicas, las empresas pueden emplear métodos para adelantarse a los ataques y reducir el riesgo.

Por ejemplo, una directiva de Autenticación de mensajes, informes y conformidad basada en dominios (DMARC) de “rechazo” ofrece la máxima protección contra el correo suplantado, y garantiza que los mensajes no autenticados se rechazan en el servidor de correo, incluso antes de su entrega. Asimismo, los informes DMARC ofrecen un mecanismo para que la organización conozca el origen de una aparente falsificación, una información que normalmente no recibiría.

Aunque las organizaciones llevan ya varios años administrando recursos totalmente remotos o híbridos, sigue siendo necesario replantearse la concienciación sobre la seguridad en la era del trabajo híbrido. Como los empleados trabajan con más proveedores y contratistas, y reciben más correos electrónicos que “ven por primera vez”, es imperativo ser consciente de qué suponen estos cambios en los ritmos de trabajo y la correspondencia para la superficie expuesta a ataques.

Los intentos de BEC de los agentes malintencionados toman muchas formas, por ejemplo, llamadas de teléfono, mensajes de texto, correos electrónicos o mensajes en las redes sociales. Suplantar identidades en mensajes de solicitud de autenticación y hacerse pasar por personas y empresas también son tácticas comunes.

Una buena primera medida de defensa es fortalecer las directivas de los departamentos de contabilidad, controles internos, nóminas o recursos humanos sobre cómo responder cuando se reciben solicitudes o notificaciones de cambios relativos a instrumentos de pago o transferencias bancarias. También puede ahorrar a las organizaciones pérdidas astronómicas dar un paso atrás para descartar las solicitudes que no cumplen sospechosamente las directivas, o ponerse en contacto con la entidad solicitante a través de su sitio y representantes legítimos.

Los ataques de BEC son un gran ejemplo de por qué el riesgo cibernético debe abordarse de manera multifuncional con ejecutivos y líderes, empleados de finanzas, directores de recursos humanos y otros responsables con acceso a los registros de los empleados, como números del seguro social, declaraciones de impuestos, información de contacto y horarios, junto con responsables de TI, cumplimiento y riesgo cibernético.

Recomendaciones:

  • Utilice una solución de correo electrónico segura: Las actuales plataformas de correo electrónico en la nube utilizan funciones de IA como el aprendizaje automático para mejorar sus defensas, y añaden una protección avanzada contra el phishing y una detección de reenvíos sospechosos. Las aplicaciones en la nube de correo electrónico y productividad también ofrecen las ventajas de una continua actualización de software automática y una administración centralizada de las directivas de seguridad.
  • Proteja las identidades para prohibir el movimiento lateral: La protección de las identidades es clave para combatir el BEC. Controle el acceso a las aplicaciones y los datos con la Confianza cero y la gobernanza de identidad automatizada.
  • Adopte una plataforma de pago seguro: Se recomienda cambiar de las facturas por correo electrónico a un sistema diseñado específicamente para autenticar los pagos.
  • Deténgase y haga una llamada de teléfono para verificar transacciones financieras: Una conversación telefónica rápida para confirmar que una información es legítima es muy útil, en lugar de darlo por hecho con un clic o una respuesta rápida, con el riesgo de que se produzca un robo. Establezca directivas y expectativas que recuerden a los empleados que es importante ponerse en contacto directamente con las organizaciones o las personas, y no utilizar la información incluida en mensajes sospechosos, para comprobar solicitudes financieras y de otro tipo.

Obtenga más información sobre BEC y los agentes malintencionados iraníes con las conclusiones de Simeon Kakpovi, analista superior de inteligencia sobre amenazas.

Los datos de la instantánea representan la media de intentos de BEC anuales y diarios detectados e investigados por la Inteligencia contra amenazas Microsoft entre abril de 2022 y abril de 2023. Las retiradas específicas de URL de phishing ordenadas por la Unidad de crímenes digitales de Microsoft se producen entre mayo de 2022 y abril de 20231.

  • 35 millones al año
  • 156 000 al día
  • 417 678 retiradas de URL de phishing
  1. [1]

    Metodología: Para los datos de la instantánea, las plataformas de Microsoft, incluidas Microsoft Defender para Office, Inteligencia contra amenazas Microsoft y la Unidad de crímenes digitales (DCU) de Microsoft, han proporcionado datos anonimizados sobre las vulnerabilidades de los dispositivos y datos sobre la actividad y las tendencias de los agentes malintencionados. Asimismo, los investigadores han utilizado datos de fuentes públicas como la Agencia de seguridad de infraestructura & ciberseguridad (CISA) y el Informe de crimen en Internet de 2022 del FBI. La estadística de la portada se basa en los compromisos de Ciberdelito como servicio de correos empresariales de DCU de Microsoft de 2019 a 2022. Los datos de la instantánea representan la media ajustada de intentos de BEC anuales y diarios detectados e investigados.

Artículos relacionados

Conclusiones de Simeon Kakpovi, experto en agentes malintencionados iraníes

Simeon Kakpovi, analista superior de inteligencia sobre amenazas, habla de la formación de la próxima generación de ciberdefensores y cómo superar la tenacidad de los agentes malintencionados iraníes.

Los riesgos de seguridad únicos de los dispositivos IoT y OT

En nuestro último informe, exploramos cómo el aumento de la conectividad IoT/OT está generando vulnerabilidades mayores y más graves que los actores organizados de amenazas cibernéticas pueden explotar.

Anatomía de una superficie expuesta a ataques en la actualidad

Para administrar una superficie expuesta a ataques cadas vez más compleja, las organizaciones deben desarrollar una posición de seguridad exhaustiva. Con seis áreas clave de superficie expuesta a ataques, este informe le mostrará cómo una inteligencia sobre amenazas adecuada puede ayudar a cambiar el resultado del partido a favor de los defensores.

Seguir a Seguridad de Microsoft