
Cómo los ciberdelincuentes utilizan el phishing de credenciales para realizar más estafas de BEC
¿Por qué un ciberdelincuente dedicaría tiempo a desarrollar malware, cuando simplemente puede engañar a los usuarios desprevenidos para que entreguen sus contraseñas? ¿Por qué un actor de amenazas gastaría su dinero y recursos en ransomware, cuando puede obtener esa misma información a través de una cuenta comprometida?
Actualmente, existe una tendencia creciente de una técnica conocida como suplantación de identidad (phishing) de credenciales, la cual consiste en que los actores de amenazas se hacen pasar por marcas y servicios legítimos, creando sitios web con una apariencia similar a estos, para que los usuarios desprevenidos ingresen sus credenciales de acceso. Una vez capturados los datos de la cuenta, se envían a los ciberdelincuentes, muchas veces sin pasar por el software de detección de malware. A partir de ahí, los delincuentes pueden realizar distintas actividades por un tiempo prolongado, sin ser detectados. Cabe resaltar que este problema se vuelve más grave con la creciente migración empresarial hacia el correo electrónico y los servicios basados en la nube como Office365 o Google Workspace (Gmail).
Una vez que los ciber delincuentes obtienen acceso a una cuenta, pueden crear reglas de reenvío, obtener acceso a otras aplicaciones como Microsoft OneDrive y Microsoft Teams, además de intentar propagar más correos maliciosos hacia otros contactos y utilizar las cuentas para configurar una infraestructura BEC adicional.
¿Qué es una estafa de tipo BEC?
Business Email Compromise (BEC) es el nombre de un tipo de estafa que consiste en que un atacante obtiene el acceso a una cuenta de correo electrónico empresarial, e imita la identidad de su propietario, con el fin de defraudar a sus potenciales víctimas para solicitar transferencias electrónicas o información de carácter confidencial. Las víctimas de estas estafas pueden ser: miembros de la propia organización, clientes o socios. A menudo, un atacante creará una cuenta con una dirección de correo electrónico casi idéntica a una en la red corporativa, basándose en la confianza asumida entre la víctima y la cuenta de correo electrónico. Las estafas de tipo BEC a veces se describen como un “ataque de hombre en el correo electrónico”.
¿Qué puedo hacer para evitar el compromiso de una cuenta de correo electrónico?
Las buenas prácticas recomendadas de seguridad y los hábitos de navegación seguros pueden ayudar a evitar que su cuenta de correo electrónico se vea comprometida en el futuro. Por tal motivo sugerimos llevar a cabo las siguientes recomendaciones:
– Asegúrese de que sus dispositivos tengan las últimas actualizaciones, y cuenten con un software antivirus.
– Configure su software de seguridad, navegador de Internet y sistema operativo, para que se actualicen automáticamente. O bien, establezca una rutina para hacer esto manualmente con frecuencia.
– Utilice contraseñas robustas y únicas para acceder a la cuenta. Además, habilite el doble factor de autenticación en los servicios que lo permitan.
– Tenga cuidado con los correos electrónicos sospechosos, especialmente cuando contengan enlaces y / o archivos adjuntos.
– Verifique la dirección del remitente. Si no reconoce la dirección, no responda.
– Si una solicitud por correo electrónico de un contacto conocido parece sospechosa, verifique la solicitud llamando al remitente personalmente.
– Evite hacer clic en enlace provenientes de fuentes desconocidas. Siempre posicione el cursor en el enlace antes de hacer clic, con el fin de verificar la dirección del sitio web que está intentando visitar.
– Nunca ingrese una contraseña o su dirección de correo electrónico en un sitio desconocido, y nunca proporcione sus claves de acceso a nadie.
– Siempre esté atento al revisar los correos electrónicos, ya que puede recibir un correo electrónico de un contacto legítimo que se ha visto comprometido.
– No acceda a su cuenta de correo electrónico en una computadora pública o desde un dispositivo que use Wi-Fi público.
Autor: SCILabs