Ir al contenido principal

BEC: Alerta de cibercrimen basado en Compromiso de Email de Negocio



[Tiempo estimado de lectura: 7min]

El cibercrimen siempre está innovando. La industria del cibercrimen es una rama más del crimen organizado y, acorde a los tiempos, se vale de recursos y vías tecnológicas para potenciar sus delitos. Así es cómo se ha vuelto frecuente la suplantación para hurtar bienes materiales a víctimas empresariales productivas o comercializadoras, o para que transfieran dinero mediante el engaño.


Modus operandi


A diferencia del tradicional phishing, que opera enviando un e-mail conteniendo un enlace engañoso hacia un sitio falso que simula ser el legítimo con objeto de obtener las credenciales de los usuarios para un acceso virtual, otro mecanismo para la defraudación en línea es el llamado BEC: "Business E-mail Compromise" (Compromiso de E-Mail de Negocio), técnica en el que el atacante envía un e-mail suplantando a un ejecutivo de alguna empresa que le pudiera resultar confiable al receptor, eventualmente apostando a la confusión de nombres, para conseguir que la víctima caiga en el engaño, y lleve a cabo la solicitud expresada en el mensaje.


Las víctimas en este tipo de fraude suelen ser empresas, más que personas naturales. Por ejemplo, puede ser una empresa proveedora de bienes o productos materiales, habituada a realizar despachos a grandes compradores, operando mediante órdenes de compra con clientes con los que ya mantienen relaciones comerciales. De la misma manera también puede ser alguna empresa o entidad bancaria que administra las cuentas de alguna gran empresa, y a la cual se le solicita que transfiera cifras de dinero a otros destinatarios.

Un atacante malicioso puede inscribir un nombre de dominio "similar" al habitual (al estilo phishing). Desde ahí envía un e-mail a la víctima con una orden de compra falsa, simulando ser un comprador conocido para convencer a la víctima de que realice un despacho de mercadería. Para ello, puede llegar a predisponer físicamente de una bodega o galpón, incluso con carteles o letreros propios del comprador, a fin de convencer a la víctima de que está realizando el despacho al destino "correcto". 



Otros tipos de ataques BEC


Entre los esquemas a los que recurren los ciberdelincuentes para engatusar empleados o directivos desprevenidos, valiéndose de tácticas de ingeniería social, se cuentan:


1. Esquema de factura falsa: Suplantando a un proveedor legítimo mediante el envío de un e-mail


2. Fraude del CEO: Falsificación de la cuenta del director general  u otro alto directivo, mediante e-mail que ordena la realización de compras o el envío de dinero a terceros.


3. Robo de datos: ataque que apunta generalmente a las áreas de Recursos Humanos y Finanzas, para acceder a datos personales de los miembros de la organización, la que se venderá o podrá ser utilizada para planear futuros ataques.


4. Suplantación de representante legal: Solicitudes emanadas por un abogado o representante legal, ante las cuales no se sabe cómo validar la solicitud.



Cómo prevenir


Como se ha mencionado, en este tipo de estafa la empresa suplantada no es la víctima final del engaño, sino que los proveedores o los clientes de dicha empresa. Para resguardarse de tales fechorías se pueden establecer contramedidas tecnológicas y procedimientos tales como:


1) Revisar el nombre de dominio en la dirección del remitente del correo (la parte después de la arroba "@"), el que debe coincidir exactamente con el original.


2) Incorporar una etapa de respuesta y contrarrespuesta en la comunicación con el solicitante, pues la dirección de e-mail del remitente puede ser adulterada para "aparentar" la original, sin serlo. Al producirse una comunicación bidireccional, la adulteración quedaría expuesta si ya se validó el punto anterior.


3) Guardar en la agenda de contactos la casilla y nombre de los clientes, especialmente los recurrentes, permitiendo así al cliente de e-mail la identificación y distinción visual entre los conocidos y los que, si bien pudieran "parecerse" al original, no lo fueran.


4) Realizar una doble verificación, quizás por otro medio como el telefónico o un e-mail directo a otra casilla institucional, si es que las órdenes de compra resultan sospechosas en términos de los montos, cantidades, tipos de producto, fechas, horarios o domicilios de despacho involucrados.


5) Prestar atención a los detalles visuales  de los documentos, realizando verificaciones como la consulta al sitio web real o la agenda de contactos previamente indicada. Las facturas y demás Documentos Tributarios Electrónicos (DTE) debieran contar con una Firma Electrónica Avanzada válida más allá de su simple buena apariencia visual y coincidencia de montos.


6) Especial cuidado debe tenerse con remitentes que recurran a nombres genéricos que se arropan con apariencia de importancia técnica, del estilo "administrador" (y derivados, "adm", "admin"), "root", "system", "mailer", "daemon"; o con similitudes, tales como "gerente" en vez de "gerencia" o "adquisicion" en vez de "adquisiciones".


7) Validar la certificación de origen del e-mail. Los administradores de servidores de correos tienen a su disposición herramientas para validar que los mensajes recibidos vengan desde orígenes oficiales, y que no hayan sido adulterados (SPF, DKIM y DMARC). En caso de problemas, el mensaje debiera ser rechazado, o al menos marcado como sospechoso. No obstante pasar correctamente las validaciones no es garantía, pues todavía puede ocurrir que sea un nombre de dominio sea "parecido", viniendo efectivamente de ahí y no del servidor del interlocutor real.



Resguardos que pueden implementar las empresas para evitar ser suplantadas


Las empresas que podrían ser suplantadas, a fin de ayudar a las empresas con las que hacen negocios para resguardarse ante posibles engaños, pueden propiciar los siguientes cuidados:


1) Explicitar en su sitio web corporativo el número telefónico junto a la dirección de correo oficial de contacto para contra-validación de órdenes de compra o facturas, facilitando la doble verificación.


2) Si el caso lo permite, explicitar las direcciones de despacho legítimas (sucursales y quizás otras), precisando si acaso no solicitan despacho a direcciones fuera del listado.


3) En su servidor de e-mail, activar las opciones de seguridad SPF, DKIM y DMARC.


4) Actualizar regularmente su servidor de e-mail y aplicar una configuración segura ("hardening").


5) Promover una política de contraseñas robustas para las cuentas de sus usuarios: largas y aleatorias, sin reutilización en sistemas múltiples.



Si eres víctima de un fraude


Los afectados por situaciones como la descrita, jugándoles el tiempo en contra, debieran:

  • contactar al comprador para que alerte del modus operandi a sus demás proveedores;
  • remitir a la brevedad los antecedentes a la policía o fiscalía ante una eventual vulneración de sus derechos;
  • denunciar los enlaces en los canales de reporte de actividad maliciosa disponibles en Internet;
  • denunciar los nombres de dominio maliciosamente inscritos a través de los medios de reporte de abusos provistos por el Registrar mediante el que se hubieran inscrito, lo que se puede averiguar consultando algún servicio de Whois, como por ejemplo https://www.whois.com/whois;
  • si el caso involucrase la utilización de un nombre de dominio .CL, alertar a la casilla abuse@nic.cl adjuntando la mayor cantidad de antecedentes posible: enlaces, comprobantes, capturas de pantalla, adjuntos, e-mails originales completos (extensión .eml), etc.

Comunicando, enseñando y practicando estas prevenciones, podemos contribuir a evitar la afectación de empresas pequeñas, medianas y grandes, en un ambiente global de creciente ciberdelincuencia.



Etiquetas:

Comentarios

Publicar un comentario

Entradas más populares de este blog

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de " Secundario DNS gratuito " para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo. El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red . Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje (" host
Publicar un comentario
Leer más

dns-tools: herramienta para verificar zonas (ZONEMD) y firmar DNSSEC en forma distribuida

Actualmente existen diversas soluciones que permiten automatizar la firma DNSSEC de los dominios, integrados a los mismos servicios que normalmente proveen DNS. En el ámbito de código abierto, los más utilizados permiten activar DNSSEC con algunas instrucciones en la configuración, sin preocuparse de llaves ni firmas. Sin embargo, siempre es bueno tener herramientas que permitan hacer verificaciones o incluso firmas de una forma más de bajo nivel. Suelen ocurrir casos de uso donde alguien prefiere tener más control, o integrarse con sistemas internos no estándar. Les presentamos  dns-tools , una herramienta de línea de comandos (CLI), escrita en lenguaje Go, que permite firmar con DNSSEC una zona, crear registros de  integridad  de zona llamados ZONEMD, y a su vez validar estas firmas y registros. Esta herramienta fue creada por NICLabs , el laboratorio de NIC Chile. Es mantenida con código abierto en github , con licencia MIT. Una de las cosas más destacadas, y que lo hace una herrami
Publicar un comentario
Leer más

DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red. Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia. Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias t
1 comentario
Leer más