El compromiso de correo electrónico comercial (BEC) se refiere a todos los tipos de ataques de correo electrónico que no tienen cargas útiles. Aunque existen numerosos tipos, existen esencialmente dos mecanismos principales a través de los cuales los atacantes penetran en las organizaciones utilizando técnicas BEC, suplantación de identidad y ataques de apropiación de cuentas.
En un estudio reciente, el 71% de las organizaciones reconocieron que habían visto un ataque de compromiso de correo electrónico comercial (BEC) durante el año pasado. El cuarenta y tres por ciento de las organizaciones experimentó un incidente de seguridad en los últimos 12 meses, y el 35 % afirmó que los ataques BEC/phishing representan más del 50 % de los incidentes.
El Centro de Quejas de Delitos en Internet (IC3) del FBI informa que las estafas BEC fueron los ataques cibernéticos más costosos en 2020, con 19,369 quejas y pérdidas ajustadas de aproximadamente $ 1,8 mil millones. Los ataques recientes de BEC incluyen ataques de suplantación de identidad contra la presentadora de Shark Tank, Barbara Corcoran, quien perdió $ 380,000; los ataques del gobierno de Puerto Rico que ascendieron a $ 4 millones, y el gigante de los medios de comunicación japonés, Nikkei, que transfirió $ 29 millones en base a instrucciones en un correo electrónico fraudulento.
Para frustrar un ataque BEC, una organización debe centrarse en el Triángulo Dorado: la alineación de personas, procesos y tecnología. Siga leyendo para descubrir las mejores prácticas que toda organización debe seguir para mitigar los ataques BEC.
Resumen
Proceso
El departamento de finanzas de cada organización cuenta con una política de autorización de gastos. Esta política establece niveles de aprobación claros para cualquier gasto/pago para salvaguardar los activos de la empresa.
Si bien todos los gastos/pagos deben ser parte de un presupuesto aprobado, esta política proporciona una herramienta para que el departamento de finanzas asegure que cada pago sea autorizado por la persona o personas correctas según el monto.
En algunos casos, al director ejecutivo o presidente de una empresa se le otorga autoridad ilimitada cuando se trata de solicitar pagos. Los ciberdelincuentes se dan cuenta de esto, por lo que falsifican las cuentas de correo electrónico de personas de alto nivel.
Dado el panorama actual de ciberseguridad, el departamento de finanzas debe reevaluar esta política para implementar procesos más estrictos. Esto puede significar requerir varias autorizaciones para gastos importantes pagados mediante cheque, transferencia bancaria o cualquier otro canal para garantizar que la solicitud de pago sea legítima. También puede especificar cómo se obtienen las autorizaciones electrónicas.
Por ejemplo, si alguien en el departamento de finanzas recibe un correo electrónico del CEO solicitando una transferencia bancaria, el administrador que procesa la solicitud debe seguir la política de la empresa para obtener aprobaciones adicionales, incluido el envío de correos electrónicos a una lista de distribución preaprobada para obtener acceso electrónico. aprobaciones junto con confirmaciones por teléfono. Los montos de los gastos dictan quién puede firmar y cofirmar y se basarán en el apetito por el riesgo de su organización, es decir, cuánto está dispuesta a perder su empresa.
Como miembro del equipo de TI, debe hablar con el departamento de finanzas para explicar cómo se producen BEC y otros ataques de suplantación de identidad. Proporcione ejemplos de la vida real de ataques BEC recientes y haga una lluvia de ideas sobre lo que su empresa haría de manera diferente para frustrar el ataque. Con base en estos ejemplos, el departamento de finanzas debe reevaluar la política actual teniendo en cuenta la suplantación de ciberseguridad y BEC. Esto puede significar que el presidente de la junta, el director ejecutivo o el presidente de la empresa no pueden ser la única firma en los gastos importantes, la cantidad en dólares se basa, nuevamente, en el apetito de riesgo de su empresa.
Ahora que el proceso está establecido dentro de la política de autorización de gastos, la empresa ahora debe asegurarse de que su gente esté capacitada para seguir la política, sin excepción.
Personas
Todos los empleados de la empresa deben estar capacitados para saber cómo es un ataque de seguridad cibernética, qué hacer y qué no hacer, y esta capacitación debe brindarse de manera continua dado que el panorama de la seguridad cibernética está cambiando muy rápidamente.
Los empleados del departamento de finanzas, o cualquier persona que esté autorizada para desembolsar fondos de cualquier forma, deben recibir capacitación sobre cómo se ven BEC y otros ataques de suplantación de identidad.
Enfatice que muchos de estos ataques toman la forma de correos electrónicos de ejecutivos de alto nivel, tienden a ser solicitudes «urgentes» y, a veces, la solicitud se envía minutos antes del cierre del negocio y requiere un pago inmediato. Con esta capacitación, más el requisito de que todos los empleados sigan la política de autorización de gastos, su empresa debería poder detener los ataques BEC.
Muchas empresas compran seguros para cubrir estas pérdidas BEC, pero ninguna organización puede estar segura de que el transportista pagará. Por ejemplo, la empresa comercial Virtu Financial Inc. perdió 6,9 millones de dólares en una estafa de BEC, pero su aseguradora, Axis Insurance, se ha negado a pagar alegando que «el acceso no autorizado al sistema informático de Virtu no fue la causa directa de la pérdida, sino que la pérdida fue causada por actos separados e intervinientes de empleados de Virtu que emitieron las transferencias electrónicas porque creían que el correo electrónico ‘falso’ que pedía que se transfirieran los fondos era cierto». Virtu Financial Inc. ha presentado una denuncia contra Axis Insurance por supuesto incumplimiento de contrato al negarse a dar cobertura por el ciberataque.
Tecnología
La tecnología de ciberseguridad avanzada de próxima generación puede ayudar a bloquear cualquier amenaza de correo electrónico, incluido el spam, el phishing, BEC y ataques de seguimiento, amenazas persistentes avanzadas (APT) y vulnerabilidades de ataque de día cero, todo antes de que la amenaza llegue a los usuarios finales.
Este tipo de soluciones incluyen:
- Un motor antispam que bloquea las comunicaciones maliciosas con filtros antispam y basados en la reputación.
- Un motor anti-phishing para detectar URL maliciosas y prevenir cualquier tipo de ataque de phishing antes de que llegue a los usuarios finales.
- Un motor contra la suplantación de identidad para evitar ataques sin carga útil, como suplantación de identidad, dominios similares y engaño de nombres para mostrar.
- Tecnologías anti-evasión que detectan contenido oculto malicioso al desempaquetar recursivamente el contenido en unidades más pequeñas (archivos y URL) que luego son verificadas dinámicamente por múltiples motores en segundos.
- Inteligencia artificial (MI) y procesamiento de lenguaje natural (NLP) para verificar si hay aberraciones de la norma en contenido y contexto, como identificar un estilo de escritura anormal, palabras clave que pueden significar actividad maliciosa, direcciones IP extrañas, ubicaciones geográficas, tiempo, etc. .
- Detección para prevenir amenazas avanzadas y ataques de día cero.
- Análisis de correo electrónico ad-hoc para que los usuarios finales identifiquen correos electrónicos sospechosos antes de tomar medidas imprudentes.
- Ayuda contextual para el usuario final para marcar correos electrónicos con pancartas personalizables basadas en políticas y reglas para proporcionar a los usuarios finales información contextual adicional y aumentar su conciencia de seguridad.
La solución debería ser capaz de detectar y detener los ataques de suplantación de identidad y de apropiación de cuentas, en los que un ciberdelincuente obtiene acceso a una cuenta de correo electrónico legítima e intenta adentrarse más en la red.
Pensamientos finales
La competencia de estos ataques es la razón por la que las empresas y los proveedores de servicios gestionados (MSP) eligen utilizar las soluciones de protección cibernética de Acronis. Con una combinación única de inteligencia artificial (MI), automatización e integración, esta solución de protección cibernética todo en uno está diseñada para ayudar a reducir el riesgo comercial y mejorar la productividad, independientemente de cómo ocurra la pérdida de datos.
