Las cuentas de correo electrónico son objetivos comunes de ataques. Comprender en qué se diferencian los tipos de ataque es fundamental para una defensa exitosa.
El correo electrónico puede ser terrible, desde todas las variedades de spam que se escabullen a través de sus filtros hasta el riesgo de abrir algo que parece legítimo, pero nos hace dudar. Es la herramienta por excelencia y mucho más en trabajo remoto por esta pandemia y también es el vector preferido para una variedad de ataques que incluyen robo, fraude, ransomware y más.
Según el FBI, los ataques de compromiso de correo electrónico empresarial (BEC) fueron responsables de más de $ 26 mil millones en daños globales entre 2016 y 2019. BEC es una descripción amplia, utilizada por algunas organizaciones (como el FBI) para cubrir prácticamente todos los ataques que utilizan una dirección de correo electrónico de confianza. Otros, sin embargo, usan BEC como un término más específico y el compromiso de la cuenta de correo electrónico (EAC) para describir un tipo diferente de ataque.
Es importante saber la diferencia entre los dos ya que la forma de respuesta o tratamiento de un incidente cambia al conocerla.
BEC, alguien específico:
En el BEC “clásico”, se utilizan técnicas para convencer a un destinatario de correo electrónico de que el mensaje proviene de una fuente legítima y confiable cuando, de hecho, proviene de una cuenta fraudulenta. El mensaje “confiable” podría solicitar al destinatario que haga cualquier cantidad de cosas, asociadas a actos criminales.
El punto clave para recordar acerca de un BEC clásico es que su éxito se basa en mensajes que pretenden ser de una fuente confiable, alguien específico. Cuanto más convincente sea el lenguaje (o ingenua la víctima), más exitoso será el ataque.
EAC, el enemigo en casa:
Mientras que un BEC se basa en mensajes que parecen provenir de una fuente confiable, en un EAC los mensajes realmente provienen de una fuente confiable. Los atacantes utilizan diversas tácticas, como password spray, phishing, malware, con el fin de comprometer las cuentas de correo electrónico de las víctimas y obtener acceso a buzones de correo legítimos.
Una vez que un atacante ha obtenido acceso a las cuentas de correo electrónico, puede mal usarlas de múltiples maneras: extraer datos asociados con la cuenta, cambiar las reglas de reenvío o alias y lanzar campañas de fraude o robo. Lo anterior mencionado son acciones previas a malware, spyware o cual otro “ware” que afectará a un objetivo que aun no es parte del compromiso.
Una de las razones por las que un EAC puede ser tan peligroso es que el atacante es “el enemigo en casa”. Una vez que la cuenta se ve comprometida, muchos mecanismos de seguridad, incluidos los básicos como DMARC (Autenticación de mensajes, informes y conformidad basados en el dominio), nunca entran en juego.
¿Qué podemos hacer?
BEC y EAC son amenazas relacionadas, pero diferentes. El área de ciberseguridad de una organización debe contar con una estrategia de protección que pueda identificar y responder a ambos tipos de ataque basada en procesos efectivos y tecnología con algoritmos confiables de inteligencia artificial que identificarán, aislarán y remediarán tan pronto como se detecte un compromiso, no es posible confiar únicamente en tecnologías de legado basadas en firmas o análisis sandbox.
Las diferencias en el ataque deben reflejarse en las diferencias en la forma en que los defensores protegen los sistemas contra ellos. La protección contra BEC comienza con concientización, simulación de ataques y mucho escepticismo por parte de los empleados, así como una proceso y forma efectiva de reportar situaciones inusuales o extraordinarias. La defensa de EAC, por otro lado, comienza con la protección de las cuentas de correo electrónico contra la toma de control por cualquier método, es probable que estas medidas no siempre funcionarán, se deben robustecer los controles tanto tecnológicos como humanos para evitar “entregar” nuestro buzón de correo.
En NEKT Group podemos ayudarte a diseñar e implementar una estrategia de defensa adecuada para ambos tipos de ataque incluyendo consultoría en procesos y tecnología de nueva generación que utiliza inteligencia artificial para automatizar la respuesta a cualquier incidente.
Fuentes: Curtis Franklin Jr. (Dark Reading) – Miguel Torres (Nektgroup)
