[23/05/2023] La actividad de ciberseguridad en torno al compromiso del correo electrónico empresarial (BEC, por sus siglas en inglés) se disparó entre abril del 2022 y abril del 2023, con más de 150 mil intentos diarios, de media, detectados por la Unidad de Delitos Digitales (DCU) de Microsoft.
Los hallazgos se destacaron en la última edición de Cyber Signals de Microsoft, un informe de inteligencia de ciberamenazas que destaca las tendencias de seguridad y las perspectivas recopiladas de los 43 mil millones de señales de seguridad de Microsoft y 8.500 expertos en seguridad.
"Los ataques BEC destacan en el sector de la ciberdelincuencia por su énfasis en la ingeniería social y el arte del engaño", afirmó Vasu Jakkal, vicepresidente corporativo de seguridad, en una entrada de blog. "Los ataques BEC exitosos cuestan a las organizaciones cientos de millones de dólares al año".
Los intentos de BEC aumentaron significativamente
La DCU de Microsoft observó un aumento del 38% en los ataques de cibercrimen como servicio (CaaS, por sus siglas en inglés) dirigidos al correo electrónico empresarial entre el 2019 y el 2022, según el informe. También se han producido 417.678 desmontajes de URL de phishing únicas dirigidas por la DCU entre mayo del 2022 y abril del 2023.
Entre abril del 2022 y abril del 2023, Microsoft detectó e investigó 35 millones de intentos de BEC con una media de 156 mil intentos diarios.
"En el 2022, el Equipo de Recuperación de Activos (Recovery Asset Team, RAT) del FBI inició la Financial Fraud Kill Chain (FFKC) en 2.838 denuncias de BEC que implicaban transacciones nacionales con pérdidas potenciales de más de 590 millones de dólares", anotó Jakkal.
En lugar de buscar vulnerabilidades en dispositivos sin parches, los operadores de BEC se centran en aprovechar el enorme volumen de tráfico diario de correo electrónico y otros mensajes para engañar a las víctimas y hacerles compartir información financiera o transferir fondos sin saberlo a cuentas de mulas de dinero. Su objetivo es aprovechar el flujo constante de comunicaciones para realizar transferencias de dinero fraudulentas.
Tácticas utilizadas para comprometer el correo electrónico empresarial
Según el informe, los autores de las amenazas emplean varios métodos para intentar comprometer el correo electrónico de las empresas, que pueden consistir en llamadas telefónicas, mensajes de texto, correos electrónicos o redes sociales. Utilizan técnicas como el envío de solicitudes de autenticación falsas o hacerse pasar por particulares o empresas para engañar a sus objetivos.
Los temas utilizados para engañar a las víctimas en los ataques BEC incluyen, por ejemplo, temas relacionados con nóminas, facturas, tarjetas regalo e información empresarial, según Microsoft.
Además, Microsoft ha observado un patrón en la utilización por parte de los atacantes de plataformas como BulletProftLink. Esta plataforma CaaS es muy utilizada para crear campañas de correo electrónico malicioso a gran escala y ofrece un servicio integral que incluye plantillas, alojamiento y funciones automatizadas diseñadas específicamente para BEC. Además, los adversarios que utilizan este servicio reciben direcciones IP que les ayudan a dirigir sus esfuerzos de BEC.
A los profesionales de la ciberseguridad y a las fuerzas del orden les preocupa que estas nuevas tácticas en los ataques BEC dificulten la determinación de la ubicación de los actores de la amenaza, lo que podría conducir a un aumento de los ataques a gran escala.
"Aunque los autores de las amenazas han creado herramientas especializadas para facilitar los ataques de este tipo, como kits de phishing y listas de direcciones de correo electrónico verificadas dirigidas a directivos, responsables de cuentas por pagar y otras funciones específicas, existen métodos que las empresas pueden emplear para anticiparse a los ataques y mitigar el riesgo", afirmó Jakkal.
Utilizar aplicaciones de correo electrónico seguras, proteger las identidades para bloquear los movimientos laterales, adoptar una plataforma de pago segura y formar a los empleados son algunos métodos eficaces, según el informe.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú