Anuncio

El correo electrónico es un vector de ataque común utilizado por estafadores y delincuentes informáticos. Pero si pensabas que solo se usaba para propagar malware, phishing y Estafas de tarifas anticipadas nigerianas ¿Los correos electrónicos de estafa nigerianos esconden un terrible secreto? [Opinión]Otro día, otro correo electrónico no deseado cae en mi bandeja de entrada, de alguna manera trabajando alrededor del filtro de correo no deseado de Windows Live que hace un buen trabajo al proteger mis ojos de todos los demás no solicitados ... Lee mas , piensa otra vez. Hay una nueva estafa impulsada por correo electrónico en la que un atacante simulará ser su jefe y le hará transferir miles de dólares de fondos de la compañía a una cuenta bancaria que controle.

Se llama CEO Fraud, o "Insider Spoofing".

Entendiendo el ataque

Entonces, ¿cómo funciona el ataque? Bueno, para que un atacante lo logre con éxito, necesita saber mucha información sobre la compañía a la que apunta.

Gran parte de esta información se refiere a la estructura jerárquica de la empresa o institución a la que se dirigen. Necesitarán saber

instagram viewer
OMS se harán pasar por ellos. Aunque este tipo de estafa se conoce como "fraude del CEO", en realidad se dirige nadie con un rol superior: cualquier persona que pueda iniciar pagos. Necesitarán saber su nombre y su dirección de correo electrónico. También sería útil conocer su horario y cuándo viajarían o estarían de vacaciones.

CEO

Finalmente, necesitan saber quién en la organización es capaz de emitir transferencias de dinero, como un contador o alguien empleado del departamento de finanzas.

Gran parte de esta información se puede encontrar libremente en los sitios web de la empresa en cuestión. Muchas empresas medianas y pequeñas tienen páginas "Acerca de nosotros", donde enumeran a sus empleados, sus roles y responsabilidades, y su información de contacto.

Encontrar los horarios de alguien puede ser un poco más difícil. La gran mayoría de las personas no publican su calendario en línea. Sin embargo, muchas personas publicitan sus movimientos en sitios de redes sociales, como Twitter, Facebook y Enjambre (anteriormente Cuadrangular) Foursquare se relanza como herramienta de descubrimiento según tus gustosFoursquare fue pionero en el check-in móvil; una actualización de estado basada en la ubicación que le dijo al mundo exactamente dónde estaba y por qué, entonces, ¿el cambio a una herramienta de descubrimiento puro es un paso adelante? Lee mas . Un atacante solo necesitaría esperar hasta que haya salido de la oficina, y puede atacar.

Estoy en el mercado de San Jorge @ stgeorgesbt1 en Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 de enero de 2016

Una vez que el atacante tenga todas las piezas del rompecabezas que necesita para llevar a cabo el ataque, enviará un correo electrónico a las finanzas empleado, que pretende ser el CEO, y solicita que inicien una transferencia de dinero a una cuenta bancaria que controlar.

Para que funcione, el correo electrónico debe verse genuino. Utilizarán una cuenta de correo electrónico que parezca "legítima" o plausible (por ejemplo [email protected]), o "falsificando" el correo electrónico genuino del CEO. Aquí será donde se envíe un correo electrónico con encabezados modificados, por lo que el campo "De:" contiene el correo electrónico genuino del CEO. Algunos atacantes motivados intentarán que el CEO les envíe un correo electrónico, para que puedan duplicar el estilo y la estética de su correo electrónico.

El atacante esperará que el empleado de finanzas sea presionado para iniciar la transferencia sin consultar primero con el ejecutivo objetivo. Esta apuesta a menudo vale la pena, y algunas compañías han pagado involuntariamente cientos de miles de dólares. Una empresa en Francia que era perfilado por la BBC Perdió 100.000 euros. Los atacantes trataron de obtener 500,000, pero todos menos uno de los pagos fueron bloqueados por el banco, que sospechaba de fraude.

Cómo funcionan los ataques de ingeniería social

Las amenazas tradicionales a la seguridad informática tienden a ser de naturaleza tecnológica. Como resultado, puede emplear medidas tecnológicas para derrotar estos ataques. Si se infecta con malware, puede instalar un programa antivirus. Si alguien ha intentado piratear su servidor web, puede contratar a alguien para que realice una prueba de penetración y le aconseje sobre cómo puede "endurecer" la máquina contra otros ataques.

Ataques de ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica]Puede instalar el firewall más potente y costoso de la industria. Puede educar a los empleados sobre los procedimientos básicos de seguridad y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ... Lee mas - de los cuales el fraude del CEO es un ejemplo de - son mucho más difíciles de mitigar, porque no están atacando sistemas o hardware. Están atacando a la gente. En lugar de explotar vulnerabilidades en el código, aprovechan la naturaleza humana y nuestro imperativo biológico instintivo para confiar en otras personas. Una de las explicaciones más interesantes de este ataque se hizo en la conferencia DEFCON en 2013.

Algunos de los hacks más audaces fueron producto de la ingeniería social.

En 2012, el ex periodista de Wired Mat Honan se vio atacado por un grupo determinado de ciberdelincuentes, quienes estaban decididos a desmantelar su vida en línea. Mediante el uso de tácticas de ingeniería social, pudieron convencer a Amazon y Apple para que les proporcionaran la información que necesitaban para borrar de forma remota su MacBook Air y su iPhone, elimine su cuenta de correo electrónico y aproveche su influyente cuenta de Twitter para publicar publicaciones raciales y homofóbicas epítetos Tú puede leer la historia escalofriante aquí.

Los ataques de ingeniería social no son una nueva innovación. Los hackers los han estado utilizando durante décadas para obtener acceso a sistemas, edificios e información durante décadas. Uno de los ingenieros sociales más notorios es Kevin Mitnick, quien a mediados de los años 90 pasó años ocultándose de la policía, luego de cometer una serie de delitos informáticos. Estuvo encarcelado durante cinco años y se le prohibió usar una computadora hasta 2003. A medida que los piratas informáticos van, Mitnick estaba lo más cerca posible tener estado rockstar 10 de los hackers más famosos y mejores del mundo (y sus historias fascinantes)Piratas informáticos de sombrero blanco versus piratas informáticos de sombrero negro. Aquí están los mejores y más famosos hackers de la historia y lo que están haciendo hoy. Lee mas . Cuando finalmente se le permitió usar Internet, fue televisado por Leo Laporte Los protectores de pantalla.

Finalmente se hizo legítimo. Ahora dirige su propia firma de consultoría en seguridad informática y ha escrito varios libros sobre ingeniería social y piratería. Quizás el más considerado es "El arte del engaño". Esta es esencialmente una antología de historias cortas que analizan cómo se pueden realizar los ataques de ingeniería social y cómo protégete de ellos Cómo protegerse contra los ataques de ingeniería socialLa semana pasada analizamos algunas de las principales amenazas de ingeniería social que usted, su empresa o sus empleados deberían estar atentos. En pocas palabras, la ingeniería social es similar a una ... Lee mas , y está disponible para su compra en Amazon.

¿Qué se puede hacer sobre el fraude del CEO?

Entonces, recapitulemos. Sabemos que el CEO Fraud es horrible. Sabemos que a muchas compañías les cuesta mucho dinero. Sabemos que es increíblemente difícil mitigarlo, porque es un ataque contra humanos, no contra computadoras. Lo último que queda por cubrir es cómo luchamos contra él.

Esto es más fácil dicho que hecho. Si es un empleado y ha recibido una solicitud de pago sospechosa de su empleador o jefe, puede consultar con ellos (utilizando un método que no sea el correo electrónico) para ver si era genuino. Pueden estar un poco molestos contigo por molestarlos, pero probablemente estarán más molesto si terminó enviando $ 100,000 de fondos de la compañía a una cuenta bancaria extranjera.

AnonDollar

Existen soluciones tecnológicas que también se pueden utilizar. Microsoft próxima actualización de Office 365 contendrá algunas protecciones contra este tipo de ataque, verificando la fuente de cada correo electrónico para ver si proviene de un contacto confiable. Microsoft reconoce que han logrado una mejora del 500% en cómo Office 365 identifica los correos electrónicos falsificados o falsificados.

No te piquen

La forma más confiable de protegerse contra estos ataques es ser escéptico. Siempre que reciba un correo electrónico que le pida que realice una transferencia de dinero grande, llame a su jefe para ver si es legítimo. Si tiene alguna influencia con el departamento de TI, considere pedirles que mudarse a Office 365 Una introducción a Office 365: ¿debe comprar en el nuevo modelo de negocio de Office?Office 365 es un paquete basado en suscripción que ofrece acceso a la última suite de escritorio de Office, Office Online, almacenamiento en la nube y aplicaciones móviles premium. ¿Office 365 proporciona suficiente valor para que valga la pena? Lee mas , que lidera el grupo cuando se trata de luchar contra el Fraude del CEO.

Ciertamente espero que no, pero ¿alguna vez has sido víctima de una estafa de correo electrónico motivado por el dinero? Si es así, quiero escucharlo. Deja un comentario a continuación y dime qué pasó.

Créditos fotográficos: AnonDollar (Tu Anon), Miguel el director ejecutivo de entretenimiento (Jorge)

Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en twitter en @matthewhughes.