Aumentan los ataques de compromiso de correo electrónico
Microsoft ha detectado 35 millones de intentos en los últimos 12 meses, que pueden causar pérdidas por valor de cientos de millones de dólares.
La actividad delictiva en torno al compromiso de correo electrónico empresarial (BEC, en sus siglas inglesas) se ha disparado en los últimos 12 meses, con más de 150.000 intentos diarios de media, según la Unidad de Delitos Digitales (DCU) de Microsoft. “Estos ataques se destacan por su énfasis en la ingeniería social y el arte del engaño”, destaca Vasu Jakkal, vicepresidente corporativo de seguridad de la empresa en su blog oficial. “Cuando tienen éxito, cuestan cientos de millones de dólares al año a las organizaciones”.
Microsoft ha observado un aumento del 38% en este tipo de ciberdelincuencia como servicio (CaaS) dirigida el email. También se han eliminado 417.678 URL de phishing únicas entre mayo de 2022 y abril de 2023. Así, en este tiempo, la unidad ha investigado 35 millones de intentos BEC. “En 2022 el Equipo de Recuperación de Activos del FBI inició la Cadena de Eliminación de Fraudes Financieros en 2.838 quejas de BEC que involucraban transacciones con pérdidas potenciales de más de 590 millones de dólares”.
En lugar de apuntar a dispositivos sin parche en busca de vulnerabilidades, los operadores de BEC se enfocan en aprovechar el gran volumen de correo electrónico diario y el distinto tráfico de mensajes para engañar a las víctimas para que compartan información financiera o, sin saberlo, transfieran fondos a cuentas. Su objetivo es explotar el flujo constante de comunicación para ganar dinero de manera fraudulenta.
Los ciberdelincuentes emplean varios métodos cuando intentan comprometer los correos, lo que puede implicar llamadas telefónicas, mensajes de texto, correos o redes sociales, según el informe. Utilizan técnicas como enviar solicitudes de autenticación falsas o hacerse pasar por personas o empresas para engañar a los empleados.
Los temas utilizados para este engaño incluyen, por ejemplo, nóminas, facturas, tarjetas de regalo e información comercial. Además, Microsoft ha notado un patrón en la utilización de plataformas como BulletProftLink por parte de los atacantes. Esta plataforma CaaS se usa ampliamente para crear campañas de correo electrónico malicioso a gran escala y ofrece un servicio integral que incluye plantillas, alojamiento y funciones automatizadas diseñadas específicamente para BEC. Además, los adversarios que emplean este servicio reciben direcciones IP que ayudan a dirigir sus esfuerzos de orientación de BEC.
A los profesionales de la seguridad cibernética y las fuerzas del orden les preocupa que estas nuevas tácticas en los ataques BEC dificulten determinar la ubicación de los actores de amenazas, lo que podría generar un aumento en los ataques a gran escala.
Aunque los actores de amenazas han creado herramientas especializadas para facilitar BEC, incluidos kits de phishing y listas de direcciones de correo electrónico verificadas dirigidas a líderes de C-suite, clientes potenciales de cuentas por pagar y otras funciones específicas, existen métodos que las empresas pueden emplear para prevenir ataques y mitigar el riesgo, expresa Jakkal.
