Las tácticas cambiantes impulsan el aumento en el compromiso del correo electrónico empresarial

Ilustración del reporte de seguridad Cyber Signals

Por: Vasu Jakkal, vicepresidenta corporativa de Microsoft Security.

El día de hoy lanzamos la cuarta edición de Cyber Signals, resaltando el aumento en la actividad cybercriminal en torno al compromiso del correo electrónico empresarial (BEC por sus siglas en inglés). Microsoft ha observado un aumento del 28 por ciento en el cibercrimen como servicio dirigido al correo electrónico empresarial entre 2019 y 2022.[i]

Los ataques BEC exitosos cuestan cientos de millones de dólares anualmente a las empresas. En 2022, el Equipo de Activos de Recuperación (RAT) del FBI inició la Cadena de Eliminación de Fraude Financiero (FFKC) en 2,838 quejas de BEC que involucraban transacciones nacionales con pérdidas potenciales de más de $590 millones.[ii]

Los ataques BEC se distinguen en la industria del cibercrimen por su énfasis en la ingeniería social y el arte del engaño. Entre abril del 2022 y abril del 2023, Microsoft Threat Intelligence detectó e investigó 35 millones de intentos BEC con un promedio de 156,000 intentos diarios.[iii]

Tácticas comunes de BEC

Los intentos BEC de los actores de amenazas pueden tomar muchas formas, incluidas llamadas telefónicas, mensajes de texto, correos electrónicos o divulgación en redes sociales. La suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son tácticas comunes.

En lugar de explotar vulnerabilidades en dispositivos sin parches, los operadores de BEC buscan explotar el mar diario del tráfico de correo electrónico y otros mensajes para atraer a las víctimas a proporcionar información financiera o tomar medidas directas, tales como enviar fondos sin saberlo a cuentas de mulas de dinero que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.

A diferencia de un “ruidoso” ataque de ransomware con mensajes de extorsión disruptivos, los operadores de BEC juegan un juego de confianza silenciosa utilizando plazos artificiales y urgencia para estimular a los destinatarios, que pueden estar distraídos o acostumbrados a este tipo de solicitudes urgentes, a responder rápidamente. En lugar de malware novedoso, los adversarios de BEC alinean sus tácticas para centrarse en herramientas que mejoren la escala, la plausibilidad y la tasa de éxito en la bandeja de entrada de los mensajes maliciosos.

Microsoft observa una tendencia significativa en el uso por parte de los atacantes de plataformas como BulletProftLink, un servicio popular para crear campañas de correo malicioso a escala industrial, que vende un servicio de extremo a extremo que incluye plantillas, alojamiento y servicios automatizados para BEC. Los adversarios que utilizan este CaaS también reciben direcciones IP para ayudar a guiar la orientación BEC.

El diseño del puerto de enlace descentralizado de BulletProftLink, que incluye nodos de cadena de bloques públicos de Internet Computer para alojar sitios de phishing y BEC, crea una oferta web descentralizada aún más sofisticada que es mucho más difícil de interrumpir. La distribución de la infraestructura de estos sitios a través de la complejidad y el crecimiento evolutivo de las cadenas de bloques públicas hace que identificarlos y alinear las acciones de eliminación sea más complejo.

Si bien ha habido varios ataques de alto perfil que aprovechan las direcciones IP residenciales, Microsoft comparte la preocupación de la policía federal y otras organizaciones de que esta tendencia se puede escalar rápidamente, lo que dificulta la detección de actividad con alarmas o notificaciones tradicionales.

Aunque los actores de amenazas han creado herramientas especializadas para facilitar el BEC, incluidos kits de phishing y listas de direcciones de correo electrónico verificadas para dirigirse a líderes de C-Suite, clientes potenciales de cuentas por pagar y otros roles específicos, existen métodos que las empresas pueden emplear para prevenir ataques y mitigar el riesgo.

Los ataques BEC ofrecen un gran ejemplo de por qué el riesgo cibernético debe abordarse de manera multifuncional con el oficial de TI, cumplimiento y riesgo cibernético en la mesa junto con ejecutivos y líderes, empleados de finanzas, gerentes de recursos humanos y otros con acceso a registros de empleados como números de seguro social, declaraciones de impuestos, información de contacto y horarios.

Recomendaciones para combatir el BEC

  • Utilice una solución de correo electrónico segura: las plataformas en la nube actuales para el correo electrónico utilizan capacidades de inteligencia artificial como el aprendizaje automático para mejorar las defensas, agregar protección avanzada contra phishing y detección de reenvío sospechoso. Las aplicaciones en la nube para el correo electrónico y la productividad también ofrecen las ventajas de las actualizaciones de software continuas y automáticas y la gestión centralizada de las políticas de seguridad.
  • Identidades seguras para prohibir el movimiento lateral: La protección de las identidades es un pilar clave para combatir el BEC. Controle el acceso a aplicaciones y datos con Zero Trust y gobierno de identidad automatizado.
  • Adopte una plataforma de pago segura: considere cambiar de facturas enviadas por correo electrónico a un sistema diseñado específicamente para autenticar los pagos.
  • Capacite a los empleados para detectar señales de advertencia: eduque continuamente a los empleados para detectar correos electrónicos fraudulentos y otros correos electrónicos maliciosos, como una falta de coincidencia en el dominio y las direcciones de correo electrónico, y el riesgo y costo asociados con los ataques BEC exitosos.

Aprende más

Lee la cuarta edición de Cyber Signals hoy.

Para obtener más información y orientación sobre inteligencia de amenazas, incluidos números anteriores de Cyber Signals, visita Security Insider.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visita nuestro sitio web. Sigue el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síguenos en LinkedIn (Microsoft Security) y Twitter (@MSFTSecurity) para obtener las últimas noticias y actualizaciones sobre ciberseguridad.

 

[i]-[i][i][i] Cyber Signals Issue #4, Microsoft, 2023.

[ii] Internet Crime Complaint Center Releases 2022 Statistics, FBI.

Tags: , , , ,

Publicaciones Relacionadas