La amenaza de Compromiso de correo electrónico comercial (BEC) a menudo se ve eclipsado por el ransomware, pero es algo que las pequeñas y medianas empresas no deberían perder de vista.
Siguiendo el ejemplo, el Centro de Quejas de Delitos por Internet (IC3) del FBI ha alertado a las empresas estadounidenses sobre los ataques en curso contra organizaciones que usan Microsoft Office 365 y Google G Suite.
Advertencias sobre BEC son diez centavos, pero este se refiere específicamente a aquellos realizados contra los dos servicios de correo electrónico alojados más grandes, y el FBI cree que las PYME, con sus recursos de TI limitados, corren el mayor riesgo de este tipo de estafas:
Entre enero de 2014 y octubre de 2019, el Internet Crime Complaint Center (IC3) recibió quejas por un total de más de $ 2.1 mil millones en pérdidas reales de estafas BEC dirigidas a Microsoft Office 365 y Google G Suite.
A medida que las organizaciones pasan al correo electrónico alojado, los delincuentes migran para seguirlos.
Al igual que con todos los tipos de BEC, después de entrar en la cuenta, los delincuentes buscan evidencia de transacciones financieras, y luego se hacen pasar por empleados para redirigir los pagos a sí mismos.
En buena medida, a menudo también lanzarán ataques de phishing a los contactos para obtener aún más credenciales, por lo que el crimen se alimenta de un suministro constante de nuevas víctimas.
La pregunta más profunda es por qué las estafas BEC continúan siendo un problema cuando se entiende bien que pueden defenderse contra el uso de tecnologías como la autenticación multifactor (MFA).
Una respuesta es que los sistemas de correo electrónico más antiguos no son compatibles con esas tecnologías, un punto que Microsoft hizo recientemente cuando la compañía reveló que protocolos heredados como SMTP e IMAP correlacionado con una marcadamente mayor posibilidad de compromiso.
A falta de eso, tales cuentas se vuelven inmediatamente vulnerables a las debilidades de la contraseña, como la reutilización.
Encienda MFA
Una conclusión es que, a pesar del aumento de los ataques BEC en el correo electrónico alojado, este tipo de correo electrónico es aún más seguro que las alternativas previsto Los administradores activan las funciones de seguridad que vienen con él.
Para las organizaciones preocupadas por BEC, el FBI tiene el siguiente consejo general:
- Habilite la autenticación multifactor para todas las cuentas de correo electrónico.
- Verifique todos los cambios de pago a través de un número de teléfono conocido o en persona
Y para los administradores de correo electrónico alojados:
- Prohibir el reenvío automático de correo electrónico a direcciones externas
- Agregue un banner de correo electrónico a los mensajes que provienen de fuera de su organización
- Asegúrese de que el inicio de sesión en el buzón y los cambios de configuración se registren y conserven durante al menos 90 días
- Habilite alertas para actividades sospechosas, como inicios de sesión extranjeros
- Habilite las funciones de seguridad que bloquean el correo electrónico malicioso, como las políticas antiphishing y antifalsificación
- Configure el Marco de directivas del remitente (SPF), el Correo identificado de DomainKeys (DKIM) y el Informe y la conformidad de autenticación de mensajes basados en el dominio (DMARC) para evitar la suplantación de identidad y validar el correo electrónico
El FBI también recomienda que prohíba los protocolos heredados que se pueden usar para eludir la autenticación multifactor, aunque esto debe hacerse con cuidado ya que algunas aplicaciones antiguas aún pueden depender de estos.
Es una pena que el IC3 a veces ofrezca consejos útiles como este utilizando Notificaciones de la industria privada (PIN), una versión restringida de las advertencias públicas emitido en el sitio web de la organización.
Informar un BEC
Las agencias policiales no pueden luchar contra lo que no saben. Con ese fin, asegúrese de informarlo si ha sido blanco de una de estas estafas.
En los Estados Unidos, las víctimas pueden presentar una queja ante el IC3. En el Reino Unido, las quejas de BEC deben dirigirse a Fraude acción. Si desea saber cómo Sophos puede ayudarlo a protegerse contra BEC, lea el artículo de Sophos News ¿Caería usted en un ataque BEC?
Último podcast de Naked Security
ESCUCHA AHORA
Haga clic y arrastre las ondas de sonido a continuación para saltar a cualquier punto del podcast. Tú también puedes escuchar directamente en Soundcloud.
