Cuidado con el BEC

Hace unos días, Krebs on Security publicó un caso sobre una compañía de elementos de red a la que habían robado 46 millones de dólares vía BEC (Business Email Compromise), también llamado MITE (Man In The Email).

¿En qué consiste el BEC?

La idea de este tipo de ataques es usar “ingeniería social” así como una pequeña dosis de tecnología. Desde el punto de vista técnico, se busca conseguir un email “legítimo”. Aquí pueden entrar varios factores:

• Vulnerabilidad del propio servidor de correo que nos permita enviar email como un usuario legítimo. El correo será del tipo persona@empresa.com. Afortunadamente, esto es prácticamente imposible y a día de hoy, sería muy raro que un sistema permita hacer esto. Debería estar realmente mal configurado.
• Adquisición de un dominio “parecido”. En este caso, si la empresa tiene como dominio empresa.com, la idea es comprar empresa.co o enpresa.com… es decir, aprovechar un error gramatical que pase desapercibido.

Luego entra la parte de ingeniería social. Para ello, hay múltiples herramientas online que facilitan la vida al atacante, como LinedIn. De este tipo de webs es posible obtener un gran número de empleados, ver sus relaciones, analizar la jerarquía,…

Finalmente, será necesario adivinar sus emails, lo que no suele ser complejo una vez tenemos un ejemplo, es decir, si tenemos al Jefe del Departamento de Desarrollo que se llama John Doe y su email es j.doe@empresa.com, será muy probable que la responsable del departamento financiero, Anna Conda, tenga como correo electrónico a.conda@empresa.com.

Con todo esto, el BEC está servido. ¿Cómo proceder?

Una vez que tenemos los empleados clave y sus relaciones laborales, necesitaremos inventar una historia suficientemente creíble para que los usuarios hagan lo que pedimos. Por ejemplo, imaginemos el Vicepresidente del departamento financiero, John Doe, y una de las personas de dicho departamento, Anna Conda. Este VP (Vicepresidente) enviará un email desde j.doe@empresa.co (ojo a la terminación, no es .com, es .co) de muy malas formas al trabajador, del estilo “… ¿por qué c*ñ* no se ha hecho la transferencia a la empresa de marketing?, ¿estamos lentos o qué?, ¡¡llevan tres días amenazándome con demandarnos!!…”.

Lo que puede suceder en ese momento es que, ante la dureza del mensaje, el empleado entre en pánico y no se percate de que el correo es falso, procediendo con la trasferencia., Entonces, el mal ya está hecho y el atacante ya tiene el dinero en su poder.

Evidentemente, el correo debe estar muy logrado, es decir, con la firma habitual. Esto será también relativamente fácil, bien escribiendo a John o a otro compañero con cualquier excusa y ver su respuesta. También deberá estar bien redactado, evitando usar traductores automáticos que darán un aspecto raro al email y que podría hacer desconfiar al usuario.
Los departamentos técnicos tampoco se libran de estos ataques. La diferencia es que si un departamento financiero nos puede hacer una transferencia, un departamento técnico podría ser infectado con un APT y darnos acceso a las plataformas de desarrollo, modificar código, troyanizarlo, etc… Evidentemente, a este personal no se le engañará con una supuesta transferencia a un proveedor, pero quizás sí con un PDF fraudulento (con un 0-day) para inscribirse en el programa interno de pruebas de los nuevos relojes inteligentes con unidades limitadas…

A finales del año pasado, publicamos las tendencias de seguridad que se verían en 2015. Una de ellas es que debido a la reducción de vulnerabilidades (gracias a que los fabricantes están tomando mucha conciencia), los ataques vía Ingeniería Social están creciendo. El BEC es uno de ellos, y como hemos visto en la noticia que abría este artículo, es más que lucrativo.

Como ya hemos comentado muchas veces, la principal forma de prevención de este tipo de ataques es mediante el pensamiento crítico y la VERIFICACIÓN. En nuestra historia, ¿realmente John enviaría a Anna un email tan grosero con tanta urgencia? (posiblemente John sea el tipo más pacífico del mundo). Si es tan urgente, ¿no sería más apropiado una llamada acto seguido del email para ver que Anna se va a poner con ello? Si el proveedor al que supuestamente hay que pagar no le suena a Anna, ¿no debería llamar a John y verificarlo?

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: