Hasta un 60% de los ataques de compromiso empresarial por correo electrónico (BEC o fraude del CEO) no involucran un enlace malicioso, lo que dificulta que los empleados y los sistemas de seguridad de correo electrónico detecten que algo anda mal, según un informe reciente.
Los investigadores de Barracuda, en un nuevo estudio de 3,000 ataques BEC, descubrieron que la mayoría de los correos electrónicos usan texto plano, y están destinados a iniciar una conversación con el destinatario, y finalmente persuadir a este de autorizar una transferencia electrónica o enviar información sensible al ciberatacante. De hecho, solo el 40.1% de los correos electrónicos incluía un enlace malicioso. "Estos correos electrónicos de texto plano son especialmente difíciles para los sistemas de seguridad de correo electrónico existentes, ya que a menudo se envían desde cuentas de correo electrónico legítimas, adaptadas a cada destinatario y no contienen ningún enlace sospechoso", dijo Asaf Cidon, vicepresidente de seguridad de correo electrónico de Barracuda, en este informe.
De acuerdo con el estudio, 46.9% de los ataques intentaron iniciar una transferencia bancaria, mientras que 40.1% empujó a las víctimas a hacer clic en un enlace malicioso. Hasta 12.2% de los ataques buscaban establecer una buena relación con la víctima. Por ejemplo, un atacante podría preguntar a las víctimas si están disponibles para una tarea urgente; y luego, una vez que la víctima responde al correo electrónico inicial, solicitarán una transferencia bancaria. Finalmente, otro 12.2% de los correos electrónicos de BEC intentaron robar información personal identificable (PII) de los destinatarios (típicamente en forma de formularios W2 que contienen números de Seguridad Social).
Objetivos más allá de los roles de nivel-C
Otra observación interesante en el informe es que, si bien muchos correos electrónicos de BEC pretenden ser de un ejecutivo de alto nivel (como el CEO o CFO), la mayoría de las víctimas no desempeñan roles importantes. Según la encuesta, hasta el 42.9% de los correos electrónicos supuestamente provenían del CEO, y el 48.1% se hizo pasar por "otros" roles que no son de nivel-C o de finanzas/recursos humanos. Sin embargo, en el extremo receptor, solo el 2.2% de los ataques fueron dirigidos a los CEO (con un 16.9% apuntando al CFO). Hasta el 53.7% de los ataques fueron dirigidos a "otros" roles. "Como se puede ver, casi la mitad de los roles suplantados y más de la mitad de los destinatarios no son de posiciones 'sensibles', como ejecutivos, finanzas o recursos humanos", dijo Cidon. "Por lo tanto, simplemente proteger a los empleados en departamentos sensibles no es suficiente para protegerse contra ataques BEC".
Los correos electrónicos de BEC no son nada nuevo, pero a medida que las compañías continúan buscando maneras de educar a sus empleados contra estas estafas, los actores maliciosos también están desarrollando sus técnicas. Un informe reciente encontró que los compromisos de correo electrónico empresarial aumentaron en el segundo trimestre de 2018, según la edición de julio de Beazley Breach Insights. El año pasado se descubrieron una serie de nuevas campañas de BEC en el medio, incluida una campaña de spam BEC dirigida a las empresas de Fortune 500 en febrero y más actividad en torno a un grupo de pirateo detrás de varios ataques BEC de la industria marítima de gran escala, llamados Gold Galleon.
Artículo referenciado