[16/05/2023] En los últimos dos años, un grupo de ciberdelincuentes con base en Israel ha lanzado más de 350 campañas para comprometer el correo electrónico de las empresas (BEC, por sus siglas en inglés), dirigidas a grandes multinacionales de todo el mundo. El grupo destaca por algunas de las técnicas que utiliza, como la suplantación del nombre de usuario del correo electrónico y la inclusión de varias personas falsas en las cadenas de correo electrónico, así como por las sumas de dinero anormalmente elevadas que intenta extraer de las organizaciones.
"Como la mayoría de los actores de amenazas que se centran en comprometer el correo electrónico de las empresas, este grupo es bastante agnóstico en cuanto a sus objetivos", afirman en un informe los investigadores de la empresa de seguridad del correo electrónico en la nube Abnormal Security. "Se dirigen a múltiples industrias simultáneamente, incluyendo fabricación, servicios financieros, tecnología, comercio minorista, salud, energía y medios de comunicación".
Las organizaciones objetivo tenían sedes en 15 países, pero al tratarse de corporaciones multinacionales, los empleados de estas empresas de oficinas en 61 países diferentes fueron el objetivo. La razón por la que el grupo se centra en las grandes empresas se revela en el señuelo que eligieron para justificar las cuantiosas transferencias que persiguen: las adquisiciones de empresas. No es raro que estas multinacionales adquieran empresas más pequeñas en diversos mercados locales.
A la suplantación del CEO le sigue la suplantación del abogado
En muchas estafas BEC, los atacantes se dirigen a empleados de los departamentos de finanzas o contabilidad que tienen acceso a las cuentas de la organización. Sin embargo, este grupo se dirige a ejecutivos de empresas y otros altos cargos.
El primer correo electrónico parece proceder del director general de la empresa e informa al destinatario de que la organización está en proceso de adquirir una nueva empresa, pero que la transacción está supervisada por las autoridades del mercado financiero y debe mantenerse confidencial hasta que se haga un anuncio público para evitar el uso de información privilegiada.
Este correo electrónico inicial busca obtener una promesa de confidencialidad, mencionando que la transacción podría fracasar si se filtra información, pero incluye otras pistas como que la adquisición no se realizará desde la sede central por motivos fiscales, porque la empresa adquirida está en otro país donde la organización busca expandir sus operaciones. Esto también ayuda a añadir credibilidad si el empleado objetivo es un ejecutivo local en un determinado país, en lugar de alguien de la sede central.
"En primer lugar, es probable que los miembros del equipo ejecutivo envíen y reciban comunicaciones legítimas con el director general de forma habitual, lo que significa que un correo electrónico del jefe de la organización puede no parecer anormal", señalan los investigadores. "En segundo lugar, por la importancia declarada del supuesto proyecto de adquisición, es razonable que se confíe la ayuda a un alto dirigente de la empresa. Y, por último, debido a su antigüedad en la organización, es de suponer que haya menos burocracia que superar para que autoricen una transacción financiera de gran envergadura".
Si el destinatario acepta ayudar, el correo electrónico de seguimiento proporciona más información sobre la adquisición, como la ubicación de la empresa y la necesidad de hacer un pago "a plazos" para asegurar la adquisición antes de que los competidores se enteren. También es aquí donde el empleado objetivo pasa a manos de un segundo personaje al decirle que se ponga en contacto con un abogado especializado en adquisiciones.
En muchos casos, en esta segunda fase de la estafa se suplanta la identidad de abogados de la empresa de servicios profesionales y consultoría financiera KPMG, y se utiliza el logotipo de KPMG en la firma del correo electrónico.
Cuando se contacta con este segundo abogado, los atacantes responden con la información de la cuenta bancaria y la cantidad que debe transferirse. La comunicación en esta segunda parte de la estafa no siempre se realiza por correo electrónico, y en algunos casos el falso abogado pedía hablar a través de una llamada de voz de WhatsApp. Los investigadores siguieron una de las estafas y llamaron al número y hablaron con alguien con acento francés que reiteró la necesidad de urgencia y secreto, y excusó sus pobres habilidades de comunicación en inglés diciendo que tiene su sede en París.
"Un análisis de los datos del impacto financiero potencial de todos los ataques de fraude en los pagos muestra que la cantidad media solicitada es de 65 mil dólares", señalan los investigadores. "En cambio, este grupo solicita una media de 712 mil dólares, más de 10 veces la media. Dado que el tema principal de estos ataques es la adquisición de una empresa y que en ese tipo de transacciones se suelen intercambiar grandes sumas de dinero, es posible que la cantidad no haga saltar las alarmas".
Técnicas de suplantación del correo electrónico
En las estafas BEC no es inusual que los atacantes comprometan la cuenta de correo electrónico real de un empleado de la empresa y luego lancen su ataque desde allí. Sin embargo, como este grupo utiliza un señuelo específico que requiere la suplantación del director general para ser creíble, los atacantes recurren en su lugar a la suplantación del correo electrónico.
En primer lugar, comprueban si el dominio de correo electrónico de la organización tiene activada una política DMARC. Se trata de un protocolo de comunicación por correo electrónico destinado a evitar la suplantación de identidad. Si no existe una política DMARC o está mal configurada y es ineficaz, los atacantes suplantan directamente la dirección de correo electrónico. Sin embargo, si existe tal política, emplean otra técnica conocida como suplantación del nombre en pantalla.
Muchos clientes de correo electrónico se limitan a mostrar el nombre del remitente en el encabezado del correo electrónico en la vista compacta predeterminada. Algunos clientes añadirán también la dirección de correo electrónico después del nombre en el formato "Nombre <user@domain.com>", o el destinatario tendrá que hacer clic para expandir el encabezado del correo electrónico para ver también la dirección de correo electrónico. Para engañar a las víctimas, los atacantes configuran su nombre para mostrar no sólo el nombre completo del CEO, sino también su dirección de correo electrónico en la forma: "Nombre falso <user@domain.com>" para que cuando el objetivo lo vea pueda confundirlo con el correo electrónico que su cliente de correo electrónico muestra en vista expandida.
"Incluso los empleados más preocupados por la seguridad podrían ser engañados por señuelos de ingeniería social como estos, sobre todo debido a la legitimidad que dan las llamadas telefónicas", afirman los investigadores. "Y, por desgracia, es poco probable que las herramientas de seguridad heredadas bloqueen los ataques iniciales, ya que se envían desde dominios legítimos sin enlaces sospechosos, adjuntos maliciosos u otros indicadores tradicionales de compromiso".
La formación en materia de seguridad para detectar este tipo de estafas es esencial, así como contar con procedimientos internos claramente definidos para verificar y autorizar las solicitudes de transferencias desde las cuentas bancarias de la empresa, lo que podría incluir confirmar siempre una solicitud realizada por correo electrónico con una llamada telefónica de seguimiento a la persona que la hizo, por supuesto utilizando el número de teléfono que figura en el directorio de contactos internos de la empresa y no el que aparece en el correo electrónico.
Por desgracia, estas estafas suponen poco esfuerzo y mucha recompensa, ya que los atacantes no necesitan que caiga un gran número de objetivos para que tengan éxito. "Un solo ataque con éxito al mes significa que estos actores de amenazas podrían estar preparados de por vida, lo que quizás sea la razón por la que parece que sólo funcionan unos pocos meses al año", afirmaron los investigadores.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú