Fraude del CEO
La estafa del correo electrónico conocida como “CEO Fraud” es muy común hoy en día y existen muchas denuncias realizadas. Este tipo de ataques son enmarcados en la categoría “Business Email Compromise” (BEC), y han ocasionado muchas pérdidas en varias organizaciones. De hecho, el FBI de Estados Unidos emitió recientemente un reporte en el que expresa que en el año 2015 la pérdida de dinero a causa de este fraude se estimó en los cientos de millones de dólares.
El ataque se inicia con un correo electrónico simulando ser el CEO de la compañía u organización. El atacante generalmente se pondrá en contacto con alguna persona de alto nivel jerárquico, por ejemplo alguien del área de finanzas, y así poder recabar información confidencial o delicada para beneficio propio o simplemente solicitar transferencias de dinero.
El ataque tiene una etapa previa de análisis donde los ideólogos se informan sobre la organización, principalmente datos como nombre y dirección de correo electrónico del CEO y otras personas claves de la misma.
Un indicio que debería levantar sospecha de este fraude es que al responder el correo del supuesto CEO, la dirección a la cual se respondió es diferente a la que se muestra en el campo “From”/”De”. También es importante observar que si bien el nombre que figura corresponde al nombre del CEO, la dirección del campo “From/De” es de un dominio distinto al de la propia organización. Ejemplo:
From: “Nombre del CEO” <ceo.direccion.email@ejemplo.com>
Reply-To: “Nombre del CEO” <direccion.email@dominiodelatacante.com>
Otro modo utilizado es el uso de un dominio similar al verdadero con algún carácter sustituído/agregado, de tal manera que luzca similar. Por ejemplo, si el dominio verdadero fuese ‘ejemplo.com’ se utilizara ‘ejempllo.com’.
From: “Nombre del CEO” <ceo.direccion.email@ejempllo.com>
Se podrían citar muchos más casos de cuerpos de correos fraudulentos, como solicitudes de envío de datos de cuentas bancarias, solicitudes de transferencias bancarias, o aquellos que contienen enlaces fraudulentos o de descarga de archivos maliciosos.
Informar a los miembros de la organización en cómo detectar correos fraudulentos y reportarlos es clave para mantenerse a salvo de estos ataques.
Algunas recomendaciones:
- Para evitar la suplantación de identidad que utiliza el mismo dominio que la organización, se recomienda implementar un sistema anti-spoofing. Con este control el correo falso sería detectado y bloqueado ya que será un correo entrante con el dominio local, pero enviado desde una dirección IP desconocida
- Estar atentos y verificar que los caracteres del dominio recibido se correspondan exactamente con los del dominio real
- Analizar la posible implementación de mecanismos de autenticación de correo electrónico como DKIM, DMARC o SPF.
- Educar a los usuarios de la organización para que sean capaces de reconocer correos maliciosos
- Ignorar correos electrónicos de remitentes desconocidos
- Analizar los enlaces a sitios web recibidos ya que pueden estar disfrazados bajo “texto de anclaje” y de este modo simulan apuntar a otra dirección. Una forma posible es colocar el cursor sobre el enlace y en la esquina inferior izquierda veremos la dirección real a la que apunta, que debiera coincidir con el dominio.
- Evitar abrir archivos adjuntos de fuentes desconocidas ya que son un método muy común de distribución de malware utilizado por los atacantes
- Utilizar únicamente el dominio de la organización para comunicaciones de trabajo. Las cuentas de correo basadas en otros dominios facilita al atacante el trabajo de falsificar una cuenta.
- Verificar siempre la información solicitada por correo electrónico a través de otro canal de comunicación en el cual usted confíe. Recuerde que ningún administrador de sistemas le solicitará datos personales, ni contraseñas, ni cambios de contraseñas a través de ningún medio.
- Mantener actualizado un sistema antivirus y un anti-malware
- Usar políticas de contraseñas robustas
Referencias
http://dkim.org/
https://es.wikipedia.org/wiki/Sender_Policy_Framework
https://www.servertastic.com/blog/preventing-bec-attacks
https://resources.infosecinstitute.com/prevent-bec-email-security-features/#gref