Profundizando en el mundo del Business Email Compromise

Los ataques de Business Email Compromise (BEC), también conocidos como “el fraude del CEO”, se han extendido enormemente en los últimos años, con un crecimiento proyectado de más de 9.000 millones en 2018. La combinación de simplicidad y efectividad ha permitido que la modalidad de ataque BEC continúe siendo una de las más populares, especialmente para aquellos que carecen de herramientas y conocimientos especiales para llevar a cabo esquemas más complicados de ataque.

Trend Micro ha examinado incidentes relacionados con ataques BEC durante un período de nueve meses (de enero a septiembre de 2017) para ver las tendencias actuales y emergentes de los incidentes BEC, examinar las herramientas y técnicas que utilizan los cibercriminales y analizar los datos con el fin de aportar una panorámica general de cómo es el BEC a día de hoy.

El Internet Crime Complaint Center (IC3) clasifica los ataques BEC en cinco principales categorías, pero Trend Micro, tras el seguimiento intensivo realizado, ha logrado reducirlos a dos técnicas principales:

  • Captura de credenciales – Conlleva el uso de keyloggers y kits de phishing para robar credenciales y acceder al correo web de las organizaciones objetivo.
  • Sólo correo electrónico – Incluye un correo electrónico enviado a alguien del departamento financiero (generalmente al CFO) de la empresa objetivo. Los atacantes diseñan el email para que parezca que éste ha sido enviado por un directivo de la compañía, por lo general dando instrucciones al objetivo para que realice una transferencia de dinero. En la mayoría de los casos, esa petición de transferencia es para proceder al pago de un proveedor o como un favor personal.

Las técnicas de captura de credenciales se pueden categorizar en aquellas que emplean malware y aquellas que utilizan phishing.

Al examinar las muestras de archivos adjuntos maliciosos que tenían nombres de archivo que podían clasificarse claramente, el equipo de trabajo fue capaz de definir los más destacados:

Categorías de nombres de archivo más populares utilizadas en adjuntos maliciosos
(basado en muestras de VirusTotal)

También se han examinado los archivos adjuntos maliciosos de ataques BEC relacionados con phishing, entre los que se encontraron las siguientes categorías con el nombre de archivo más común:

Categorías de nombre de archivo más comúnmente utilizadas en los archivos adjuntos de ataques BEC relacionados con phishing
(basado en la respuesta de Trend Micro Smart Protection Network)

La investigación sobre ataques BEC relacionados con malware también puso en escena a dos jugadores clave: Ardamax, un software de 50 dólares que ofrece a un agente BEC las funciones básicas que necesitaría para operar; y LokiBot, una conocida familia de malware que se usa cada vez más en los ataques BEC.

Por su parte, los ataques BEC sólo de correo electrónico utilizan técnicas de ingeniería social. Si bien la ingeniería social es un rasgo común de la mayoría de los ataques BEC, un ataque solo por email utiliza métodos más sofisticados para explotar la psique humana. En pocas palabras, estos ataques emplean un email diseñado para que parezca lo más creíble posible. Este tipo de ataques BEC normalmente implican el uso inteligente del apartado Asunto, de la parte de “Responder a”, además de dónde viene el correo electrónico.

Los actores de los ataques BEC también crean direcciones de email de apariencia legítima diseñadas para suplantar a los ejecutivos de la compañía, ya sea mediante el uso de proveedores de webmail poco fiables o registrando un dominio de imitación que se asemeje o haga referencia a la empresa objetivo.

En el gráfico a continuación, se puede ver la distribución de ataques de BEC solo por email según las técnicas utilizadas:

Distribución de métodos utilizados solamente para ataques de correo electrónico en base a las técnicas utilizadas

Además, el equipo de investigación de Trend Micro también ha analizado cómo los agentes BEC compran sus herramientas, especialmente los sitios web de phishing que utilizaron en sus ataques. Uno de los métodos más comunes utilizados por los actores BEC conlleva el uso de kits de phishing (scampages) como la principal fuente de ataques. El examen de estos websites ha permitió identificar a un agente BEC y aprender cómo este individuo obtuvo y utilizó sus herramientas.

Trend Micro ha encontrado huellas de este individuo en múltiples sites de phishing, lo que ha proporcionado pistas sobre cuántos agentes BEC recurren a múltiples sitios para realizar sus ataques. También suelen interactuar y tener acceso a mercados clandestinos que pueden proporcionarles las herramientas que necesitan para lograr ataques BEC efectivos. Incluso los agentes BEC inexpertos cuentan con recursos disponibles, ya que existen tutoriales de spam que pueden ayudarles a iniciar su operación. Esto significa que los agentes, las herramientas y las técnicas BEC son fácilmente accesibles sin tener necesidad de saltar obstáculos. Este esfuerzo de investigación tiene como objetivo dar una idea más clara de las tendencias emergentes en materia BEC, las herramientas y técnicas que utilizan y cómo los individuos y las organizaciones pueden protegerse de este tipo de ataques.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *