Vulneración del correo electrónico empresarial

Un ciberdelincuente suplanta a la víctima utilizando una dirección de correo electrónico que parece de confianza

Suplantación de dominios

El ciberdelincuente crea un sitio web o un dominio de correo electrónico falso para hacerse pasar por una empresa o persona de confianza. Normalmente, el dominio parece legítimo a primera vista y las diferencias pueden ser sutiles y difíciles de detectar.

Mediante el uso de credenciales de correo electrónico robadas, los ciberdelincuentes pueden ver todas las conversaciones en la bandeja de entrada, facilitando la suplantación.

Supervisar las comunicaciones

El acceso a una bandeja de entrada de correo electrónico permite al ciberdelincuente investigar fácilmente a otros empleados y supervisar las conversaciones en curso, especialmente en torno a facturas o pagos.

Ocultar la actividad

El ciberdelincuente también puede tomar medidas para ocultar sus actividades, como configurar reglas de reenvío para que el usuario cuyas credenciales han sido robadas nunca vea determinadas conversaciones en la bandeja de entrada. O el ciberdelincuente puede trasladar la conversación a otra bandeja de entrada de correo electrónico.

Una vez establecida la confianza, el ciberdelincuente puede animar al usuario a saltarse los procedimientos normales y la seguridad mediante diversas técnicas de ingeniería social.

Los empleados a los que se dirigen estos ataques suelen pertenecer a los departamentos de Recursos Humanos o Finanzas, sobre todo en las organizaciones más pequeñas.

Suplantación del director general

Haciéndose pasar por el director general, el ciberdelincuente da instrucciones al empleado para que realice un pago inmediato debido a una transacción confidencial, como una adquisición, o para que compre tarjetas regalo.

Instrucción fraudulenta

Haciéndose pasar por un vendedor o proveedor, el ciberdelincuente da instrucciones al empleado para que cambie las instrucciones de pago de un abono electrónico, de modo que vaya a parar a una cuenta controlada por el ciberdelincuente.

Las empresas de servicios profesionales están especialmente expuestas a incidentes en los que el ciberdelincuente se hace pasar por una de las partes en una transacción de venta de bienes inmuebles o de otro tipo para desviar los pagos.

Manipulación de facturas 

El ciberdelincuente puede hacerse pasar por un vendedor o proveedor y enviar facturas fraudulentas para desviar los pagos.

Redirección de la nómina 

El ciberdelincuente da instrucciones a un empleado de RRHH para que cambie las instrucciones de ingreso bancario de la nómina de los empleados.

Fraude en los préstamos

El ciberdelincuente puede hacerse pasar por varios empleados y, posteriormente, pedir varios préstamos sustanciales en su nombre, con pérdidas que pueden ascender a seis cifras.

Otras formas habituales de BEC son las solicitudes urgentes de envío de datos confidenciales, como las declaraciones fiscales de los empleados

Forme a sus empleados para que reconozcan y resistan los intentos de BEC, preste atención a las solicitudes inusuales, utilice la verificación fuera de banda y resista las formas en que los ciberdelincuentes intentan sortear su autenticación multifactor (MFA).

Verificar las solicitudes

Forme a los empleados sobre sus procedimientos para las solicitudes autorizadas. Las solicitudes para cambiar las instrucciones de pago o enviar datos confidenciales deben comprobarse mediante verificación fuera de banda: no confíe en la información de contacto que le haya proporcionado el ciberdelincuente.

Evitar el reciclaje de contraseñas

Forme a los empleados en buenas prácticas de contraseñas, como no reutilizar contraseñas para diferentes cuentas.

MFA resistente al phishing

Forme a los empleados para que detengan los intentos de ingeniería social para superar la MFA, como las múltiples solicitudes para aprobar el acceso (fatiga de MFA).

Reconocer los correos electrónicos de phishing y los intentos de BEC

Forme a los empleados para que detecten los nombres de dominio falsificados y no se dejen confundir por los subdominios. Esté atento a los correos electrónicos que hagan peticiones inusuales, sobre todo con un tono de urgencia o secretismo.

Proteger adecuadamente las cuentas de correo electrónico y detectar mejor la suplantación de identidad ayudará a protegerse contra los BEC

MFA resistente al phishing

No todas las formas de MFA son igual de seguras. La MFA debe configurarse para proteger contra ataques de ingeniería social. Mientras que los códigos de acceso de un solo uso y las notificaciones push no son tan resistentes a estos ataques, los tokens de hardware FIDO2 han tenido más éxito. Bloquee los protocolos de correo electrónico heredados que no admiten la autenticación moderna.

Reducir la exposición a los correos electrónicos de phishing

Aplique medidas que puedan cambiar la forma en que se gestionan los correos electrónicos sospechosos (SPF, DKIM, DMARC). Considere la posibilidad de bloquear el correo electrónico de nuevos dominios, que pueden haber sido creados por ciberdelincuentes para el phishing.

Parchee los servidores de correo electrónico locales para privar a los ciberdelincuentes de las oportunidades fáciles.

Los impagos pueden no notarse hasta pasados 45 o 60 días, por lo que es importante buscar señales antes.

Restringir los intentos de inicio de sesión

Establezca una alerta para un número de solicitudes MFA no respondidas para evitar la fatiga MFA. Puede configurar una política de acceso para que se bloquee después de 5 o 10 intentos sin respuesta.

Supervisar los cambios en el registro y la configuración

Los cambios inusuales en las reglas existentes (como los relacionados con la carpeta RSS) o las nuevas reglas de reenvío externo pueden ser los primeros indicios de actividad relacionada con BEC.

Coloque una retención por litigio en el buzón de correo objetivo para preservar el contenido del buzón.

Asegúrese de que las opciones de registro y retención de registros están configuradas correctamente.

Active MFA si no estaba activado. Restablezca las contraseñas de todas las cuentas utilizadas por el usuario en cuestión en su dispositivo de trabajo, ya sea personal o laboral.

Compruebe la lista de dispositivos registrados asociados al usuario objetivo; es posible que el ciberdelincuente haya registrado un dispositivo adicional para las confirmaciones MFA. Y fíjese en las actividades en clientes de mensajes como Teams, Slack o Gchat, donde puede haberse compartido información sensible adicional.