Los ataques de Business Email Compromise (BEC), también conocidos como “el fraude del CEO”, se han extendido enormemente en los últimos años, con un crecimiento proyectado de más de 9.000 millones en 2018. La combinación de simplicidad y efectividad ha permitido que la modalidad de ataque BEC continúe siendo una de las más populares, especialmente para aquellos que carecen de herramientas y conocimientos especiales para llevar a cabo esquemas más complicados de ataque.
Trend Micro ha examinado incidentes relacionados con ataques BEC durante un período de nueve meses (de enero a septiembre de 2017) para ver las tendencias actuales y emergentes de los incidentes BEC, examinar las herramientas y técnicas que utilizan los cibercriminales y analizar los datos con el fin de aportar una panorámica general de cómo es el BEC a día de hoy.
El Internet Crime Complaint Center (IC3) clasifica los ataques BEC en cinco principales categorías, pero Trend Micro, tras el seguimiento intensivo realizado, ha logrado reducirlos a dos técnicas principales:
• Captura de credenciales – Conlleva el uso de keyloggers y kits de phishing para robar credenciales y acceder al correo web de las organizaciones objetivo.
• Sólo correo electrónico – Incluye un correo electrónico enviado a alguien del departamento financiero (generalmente al CFO) de la empresa objetivo. Los atacantes diseñan el email para que parezca que éste ha sido enviado por un directivo de la compañía, por lo general dando instrucciones al objetivo para que realice una transferencia de dinero. En la mayoría de los casos, esa petición de transferencia es para proceder al pago de un proveedor o como un favor personal.
Las técnicas de captura de credenciales se pueden categorizar en aquellas que emplean malware y aquellas que utilizan phishing.
Las técnicas de captura de credenciales se pueden categorizar en aquellas que emplean malware y aquellas que utilizan phishing.
Al examinar las muestras de archivos adjuntos maliciosos que tenían nombres de archivo que podían clasificarse claramente, el equipo de Trend Micro fue capaz de definir los más destacados:
Categorías de nombres de archivo más populares utilizadas en adjuntos maliciosos
(basado en muestras de VirusTotal)
También se han examinado los archivos adjuntos maliciosos de ataques BEC relacionados con phishing, entre los que se encontraron las siguientes categorías con el nombre de archivo más común.
Categorías de nombre de archivo más comúnmente utilizadas en los archivos adjuntos de ataques BEC relacionados con phishing
(basado en la respuesta de Trend Micro Smart Protection Network™)
La investigación de Trend Micro sobre ataques BEC relacionados con malware también puso en escena a dos jugadores clave: Ardamax, un software de 50 dólares que ofrece a un agente BEC las funciones básicas que necesitaría para operar; y LokiBot, una conocida familia de malware que se usa cada vez más en los ataques BEC.
Por su parte, los ataques BEC sólo de correo electrónico utilizan técnicas de ingeniería social. Si bien la ingeniería social es un rasgo común de la mayoría de los ataques BEC, un ataque solo por email utiliza métodos más sofisticados para explotar la psique humana. En pocas palabras, estos ataques emplean un email diseñado para que parezca lo más creíble posible. Este tipo de ataques BEC normalmente implican el uso inteligente del apartado Asunto, de la parte de «Responder a”, además de dónde viene el correo electrónico.
Los actores de los ataques BEC también crean direcciones de email de apariencia legítima diseñadas para suplantar a los ejecutivos de la compañía, ya sea mediante el uso de proveedores de webmail poco fiables o registrando un dominio de imitación que se asemeje o haga referencia a la empresa objetivo.
(basado en la respuesta de Trend Micro Smart Protection Network™)
La investigación de Trend Micro sobre ataques BEC relacionados con malware también puso en escena a dos jugadores clave: Ardamax, un software de 50 dólares que ofrece a un agente BEC las funciones básicas que necesitaría para operar; y LokiBot, una conocida familia de malware que se usa cada vez más en los ataques BEC.
Por su parte, los ataques BEC sólo de correo electrónico utilizan técnicas de ingeniería social. Si bien la ingeniería social es un rasgo común de la mayoría de los ataques BEC, un ataque solo por email utiliza métodos más sofisticados para explotar la psique humana. En pocas palabras, estos ataques emplean un email diseñado para que parezca lo más creíble posible. Este tipo de ataques BEC normalmente implican el uso inteligente del apartado Asunto, de la parte de «Responder a”, además de dónde viene el correo electrónico.
Los actores de los ataques BEC también crean direcciones de email de apariencia legítima diseñadas para suplantar a los ejecutivos de la compañía, ya sea mediante el uso de proveedores de webmail poco fiables o registrando un dominio de imitación que se asemeje o haga referencia a la empresa objetivo.
