Los VEC estan a la alza entre los ciberdelincuentes
Al igual que otras formas de ciberdelincuencia, el compromiso del correo electrónico empresarial está creciendo y evolucionando. Esto es lo que hay que saber.
Mientras tanto, Microsoft publicó un blog de seguridad detallado sobre el mismo tema a principios de este mes con el titular «Del robo de cookies al BEC: los atacantes utilizan los sitios de phishing AiTM como punto de entrada para continuar con el fraude financiero».
He aquí un extracto: «Una campaña de phishing a gran escala que utilizaba sitios de phishing adversarios-en-el-medio (AiTM) robaba contraseñas, secuestraba la sesión de inicio de sesión de un usuario y se saltaba el proceso de autenticación incluso si el usuario había activado la autenticación multifactor (MFA). A continuación, los atacantes utilizaban las credenciales robadas y las cookies de la sesión para acceder a los buzones de los usuarios afectados y llevar a cabo campañas de compromiso del correo electrónico comercial (BEC) contra otros objetivos. Según nuestros datos sobre amenazas, la campaña de phishing AiTM intentó atacar a más de 10.000 organizaciones desde septiembre de 2021.»
El blog de Microsoft continúa ofreciendo diagramas de procesos y más detalles sobre cómo se ejecutan los ciberataques. Mi colega bloguero del Reino Unido, Graham Cluely, escribió recientemente un excelente artículo para Tripwire, que se centraba en la importancia de esta tendencia. Su titular era «10.000 organizaciones son objetivo de un ataque de phishing que elude la autenticación multifactor».
He aquí un extracto de Graham: «La pandemia mundial, y el consiguiente aumento del personal que trabaja desde casa, ha contribuido a impulsar la adopción de la autenticación multifactor.
«Sin embargo, los ciberdelincuentes no han tirado la toalla cuando se enfrentan a las cuentas protegidas con MFA. Las cuentas con MFA son, sin duda, menos triviales de violar que las cuentas que no han reforzado su seguridad, pero eso no significa que sea imposible.
«Los kits de phishing de proxy inverso como Modlishka, por ejemplo, suplantan una página de inicio de sesión y piden a los usuarios desprevenidos que introduzcan sus credenciales de inicio de sesión y el código MFA. Los datos recogidos se transmiten al sitio web auténtico, lo que permite al ciberdelincuente acceder a él.
«A medida que más y más personas reconocen los beneficios de la MFA, podemos esperar un aumento en el número de cibercriminales que invierten esfuerzos en eludir la MFA».
¿PUEDO CONFIAR REALMENTE EN EL CORREO ELECTRÓNICO DE UN PROVEEDOR?
Mientras investigaba para este blog, me encontré con un nuevo término que cada vez se utiliza más: «vendor email compromise (VEC)». Me gusta la descripción de estos ciberataques de suplantación de identidad de proveedores que ofrece Make Use Of
«Los ataques VEC son un tipo de ataque BEC. A diferencia de los ataques BEC tradicionales, los VEC se dirigen específicamente a los proveedores. Los proveedores suelen trabajar con un gran número de empresas diferentes. La idea es que si un atacante consigue hacerse pasar por un proveedor, puede robar a todas esas empresas».
«Los ataques VEC requieren más trabajo y tardan más en implementarse. Pero dependiendo del tamaño del proveedor, los beneficios también pueden ser significativamente mayores».
Por ejemplo, Mondaq ofrece esta historia de fraude en la que se imitan empresas de construcción. Es un ejemplo convincente para revisar, y puede ocurrir en todas las industrias. He aquí algunos de sus consejos para ayudar a superar el reto:
- Verifique todos los cambios y transacciones de pago en persona o a través de un número de teléfono conocido y establecido. Siga asegurándose de que la información de contacto es actual y está actualizada.
- Compruebe cuidadosamente las direcciones de correo electrónico en busca de pequeños cambios que puedan hacer que las direcciones fraudulentas parezcan legítimas y se asemejen a los nombres reales de las empresas.
- Implemente procedimientos de aprobación sólidos para examinar las solicitudes de cambio de cuenta para evitar pérdidas monetarias.
- Habilite funciones de seguridad que bloqueen los correos electrónicos maliciosos, como las políticas antiphishing y antispoofing.
- Educar a los empleados sobre las estafas BEC, incluyendo estrategias preventivas tales como la forma de identificar los correos electrónicos de phishing y cómo responder a las sospechas de compromiso.
- Notifique a los clientes las amenazas de BEC y los métodos de mitigación que su empresa está adoptando, como la notificación a los clientes de los procesos internos para cambiar o actualizar la información bancaria ACH.
REFLEXIONES FINALES Y MÁS BUENAS PRÁCTICAS DEL FBI
Este reto de la ingeniería social y del correo electrónico no va a desaparecer y debe ser una prioridad para las campañas de concienciación de seguridad y los esfuerzos generales de ciberseguridad.
En el enlace a la alerta del FBI que dio inicio a este blog, se ofrecen estas recomendaciones para ayudar a derrotar los BEC (y los nuevos giros como los VEC):
- Utilizar canales secundarios o la autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta.
- Asegúrese de que la URL de los mensajes de correo electrónico está asociada a la empresa/persona de la que dice proceder.
- Esté atento a los hipervínculos que puedan contener errores ortográficos del nombre de dominio real.
- No proporcione credenciales de acceso o información personal de ningún tipo por correo electrónico. Tenga en cuenta que muchos correos electrónicos que solicitan su información personal pueden parecer legítimos.
- Verifique la dirección de correo electrónico utilizada para enviar correos electrónicos, especialmente cuando se utiliza un dispositivo móvil o de mano, asegurándose de que la dirección del remitente parece coincidir con la del remitente.
- Asegúrese de que la configuración de los ordenadores de los empleados está activada para permitir que se vean las extensiones completas de los correos electrónicos.
Supervise regularmente sus cuentas financieras personales para detectar irregularidades, como la falta de depósitos.
Fuente: SecurityBoulevard