Ir al contenido principal

BEC: Alerta de cibercrimen basado en Compromiso de Email de Negocio



[Tiempo estimado de lectura: 7min]

El cibercrimen siempre está innovando. La industria del cibercrimen es una rama más del crimen organizado y, acorde a los tiempos, se vale de recursos y vías tecnológicas para potenciar sus delitos. Así es cómo se ha vuelto frecuente la suplantación para hurtar bienes materiales a víctimas empresariales productivas o comercializadoras, o para que transfieran dinero mediante el engaño.


Modus operandi


A diferencia del tradicional phishing, que opera enviando un e-mail conteniendo un enlace engañoso hacia un sitio falso que simula ser el legítimo con objeto de obtener las credenciales de los usuarios para un acceso virtual, otro mecanismo para la defraudación en línea es el llamado BEC: "Business E-mail Compromise" (Compromiso de E-Mail de Negocio), técnica en el que el atacante envía un e-mail suplantando a un ejecutivo de alguna empresa que le pudiera resultar confiable al receptor, eventualmente apostando a la confusión de nombres, para conseguir que la víctima caiga en el engaño, y lleve a cabo la solicitud expresada en el mensaje.


Las víctimas en este tipo de fraude suelen ser empresas, más que personas naturales. Por ejemplo, puede ser una empresa proveedora de bienes o productos materiales, habituada a realizar despachos a grandes compradores, operando mediante órdenes de compra con clientes con los que ya mantienen relaciones comerciales. De la misma manera también puede ser alguna empresa o entidad bancaria que administra las cuentas de alguna gran empresa, y a la cual se le solicita que transfiera cifras de dinero a otros destinatarios.

Un atacante malicioso puede inscribir un nombre de dominio "similar" al habitual (al estilo phishing). Desde ahí envía un e-mail a la víctima con una orden de compra falsa, simulando ser un comprador conocido para convencer a la víctima de que realice un despacho de mercadería. Para ello, puede llegar a predisponer físicamente de una bodega o galpón, incluso con carteles o letreros propios del comprador, a fin de convencer a la víctima de que está realizando el despacho al destino "correcto". 



Otros tipos de ataques BEC


Entre los esquemas a los que recurren los ciberdelincuentes para engatusar empleados o directivos desprevenidos, valiéndose de tácticas de ingeniería social, se cuentan:


1. Esquema de factura falsa: Suplantando a un proveedor legítimo mediante el envío de un e-mail


2. Fraude del CEO: Falsificación de la cuenta del director general  u otro alto directivo, mediante e-mail que ordena la realización de compras o el envío de dinero a terceros.


3. Robo de datos: ataque que apunta generalmente a las áreas de Recursos Humanos y Finanzas, para acceder a datos personales de los miembros de la organización, la que se venderá o podrá ser utilizada para planear futuros ataques.


4. Suplantación de representante legal: Solicitudes emanadas por un abogado o representante legal, ante las cuales no se sabe cómo validar la solicitud.



Cómo prevenir


Como se ha mencionado, en este tipo de estafa la empresa suplantada no es la víctima final del engaño, sino que los proveedores o los clientes de dicha empresa. Para resguardarse de tales fechorías se pueden establecer contramedidas tecnológicas y procedimientos tales como:


1) Revisar el nombre de dominio en la dirección del remitente del correo (la parte después de la arroba "@"), el que debe coincidir exactamente con el original.


2) Incorporar una etapa de respuesta y contrarrespuesta en la comunicación con el solicitante, pues la dirección de e-mail del remitente puede ser adulterada para "aparentar" la original, sin serlo. Al producirse una comunicación bidireccional, la adulteración quedaría expuesta si ya se validó el punto anterior.


3) Guardar en la agenda de contactos la casilla y nombre de los clientes, especialmente los recurrentes, permitiendo así al cliente de e-mail la identificación y distinción visual entre los conocidos y los que, si bien pudieran "parecerse" al original, no lo fueran.


4) Realizar una doble verificación, quizás por otro medio como el telefónico o un e-mail directo a otra casilla institucional, si es que las órdenes de compra resultan sospechosas en términos de los montos, cantidades, tipos de producto, fechas, horarios o domicilios de despacho involucrados.


5) Prestar atención a los detalles visuales  de los documentos, realizando verificaciones como la consulta al sitio web real o la agenda de contactos previamente indicada. Las facturas y demás Documentos Tributarios Electrónicos (DTE) debieran contar con una Firma Electrónica Avanzada válida más allá de su simple buena apariencia visual y coincidencia de montos.


6) Especial cuidado debe tenerse con remitentes que recurran a nombres genéricos que se arropan con apariencia de importancia técnica, del estilo "administrador" (y derivados, "adm", "admin"), "root", "system", "mailer", "daemon"; o con similitudes, tales como "gerente" en vez de "gerencia" o "adquisicion" en vez de "adquisiciones".


7) Validar la certificación de origen del e-mail. Los administradores de servidores de correos tienen a su disposición herramientas para validar que los mensajes recibidos vengan desde orígenes oficiales, y que no hayan sido adulterados (SPF, DKIM y DMARC). En caso de problemas, el mensaje debiera ser rechazado, o al menos marcado como sospechoso. No obstante pasar correctamente las validaciones no es garantía, pues todavía puede ocurrir que sea un nombre de dominio sea "parecido", viniendo efectivamente de ahí y no del servidor del interlocutor real.



Resguardos que pueden implementar las empresas para evitar ser suplantadas


Las empresas que podrían ser suplantadas, a fin de ayudar a las empresas con las que hacen negocios para resguardarse ante posibles engaños, pueden propiciar los siguientes cuidados:


1) Explicitar en su sitio web corporativo el número telefónico junto a la dirección de correo oficial de contacto para contra-validación de órdenes de compra o facturas, facilitando la doble verificación.


2) Si el caso lo permite, explicitar las direcciones de despacho legítimas (sucursales y quizás otras), precisando si acaso no solicitan despacho a direcciones fuera del listado.


3) En su servidor de e-mail, activar las opciones de seguridad SPF, DKIM y DMARC.


4) Actualizar regularmente su servidor de e-mail y aplicar una configuración segura ("hardening").


5) Promover una política de contraseñas robustas para las cuentas de sus usuarios: largas y aleatorias, sin reutilización en sistemas múltiples.



Si eres víctima de un fraude


Los afectados por situaciones como la descrita, jugándoles el tiempo en contra, debieran:

  • contactar al comprador para que alerte del modus operandi a sus demás proveedores;
  • remitir a la brevedad los antecedentes a la policía o fiscalía ante una eventual vulneración de sus derechos;
  • denunciar los enlaces en los canales de reporte de actividad maliciosa disponibles en Internet;
  • denunciar los nombres de dominio maliciosamente inscritos a través de los medios de reporte de abusos provistos por el Registrar mediante el que se hubieran inscrito, lo que se puede averiguar consultando algún servicio de Whois, como por ejemplo https://www.whois.com/whois;
  • si el caso involucrase la utilización de un nombre de dominio .CL, alertar a la casilla abuse@nic.cl adjuntando la mayor cantidad de antecedentes posible: enlaces, comprobantes, capturas de pantalla, adjuntos, e-mails originales completos (extensión .eml), etc.

Comunicando, enseñando y practicando estas prevenciones, podemos contribuir a evitar la afectación de empresas pequeñas, medianas y grandes, en un ambiente global de creciente ciberdelincuencia.



Comentarios

Entradas más populares de este blog

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de " Secundario DNS gratuito " para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo. El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red . Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje (" host

dns-tools: herramienta para verificar zonas (ZONEMD) y firmar DNSSEC en forma distribuida

Actualmente existen diversas soluciones que permiten automatizar la firma DNSSEC de los dominios, integrados a los mismos servicios que normalmente proveen DNS. En el ámbito de código abierto, los más utilizados permiten activar DNSSEC con algunas instrucciones en la configuración, sin preocuparse de llaves ni firmas. Sin embargo, siempre es bueno tener herramientas que permitan hacer verificaciones o incluso firmas de una forma más de bajo nivel. Suelen ocurrir casos de uso donde alguien prefiere tener más control, o integrarse con sistemas internos no estándar. Les presentamos  dns-tools , una herramienta de línea de comandos (CLI), escrita en lenguaje Go, que permite firmar con DNSSEC una zona, crear registros de  integridad  de zona llamados ZONEMD, y a su vez validar estas firmas y registros. Esta herramienta fue creada por NICLabs , el laboratorio de NIC Chile. Es mantenida con código abierto en github , con licencia MIT. Una de las cosas más destacadas, y que lo hace una herrami

Ahora es más fácil sacarle provecho a tu dominio en .CL

La pandemia ha renovado el impulso al desarrollo de los servicios digitales. No solo las grandes empresas han debido reforzar sus canales de atención y de venta online. También los pequeños emprendedores han encontrado en Internet el medio propicio para llegar a sus clientes. En el dominio .CL hemos sido testigos del aumento de la demanda por inscribir nombres de dominio. Un dominio es, después de todo, la mejor forma de identificarse en Internet y una pieza clave de la imagen digital de cualquier empresa, desde las más pequeñas hasta las más grandes. Una dificultad para usar un nombre de dominio era que hay que invertir en el diseño de un sitio web, así como cubrir el costo del hospedaje en línea. Por este motivo, muchos pequeños emprendedores a veces prefieren mostrar sus productos a través de plataformas web como blogs, por ejemplo, o desde sus canales en redes sociales. Justo a tiempo para ayudarlos, NIC Chile lanzó el 14 de mayo de este año un nuevo servicio gratuito de redir