Nueva campaña de ataques BEC contra empresas Fortune 500

  • Actualidad

Los atacantes envían correos masivos de phishing a cientos de contactos internos y externos dentro de una empresa, con el fin de tener acceso a las credenciales de correo electrónico de un usuario. La campaña se dirige a compañías de retail, sanidad y servicios financieros.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

Investigadores de IBM X-Force han identificado una oleada de ataques de Business Email Compromise (BEC) dirigidas a las compañías Fortune 500, que están diseñadas para engañar a las víctimas y que realicen transferencias fraudulentas. Los investigadores dijeron que las campañas se originan en Nigeria y apuntan a compañías en los mercados retail, sanitario y financiero.

Los investigadores señalan que los atacantes envían correos masivos de phishing a cientos de contactos internos y externos dentro de una empresa para finalmente tener acceso a las credenciales de correo electrónico de un usuario. Estos correos electrónicos, que usan información de la compañía disponible públicamente para que parezcan creíbles, contienen un enlace adjunto que se parece a un documento comercial, y que redirecciona a las víctimas a un portal fraudulento de DocuSign. A partir de ahí, el portal solicita la a la víctima que se identifique utilizando su proveedor de correo electrónico o credenciales de usuario de empresa.

Ni el correo electrónico ni los portales fraudulentos de DocuSign contienen malware que se descargue en la máquina del usuario. Esto permite a los atacantes evitar la necesidad de instalar malware para robar credenciales que pueda activar alertas mediante herramientas de detección tradicionales y filtros de spam.

Una vez que los atacantes obtuvieron acceso a las credenciales de los usuarios, pudieron acceder a los portales web de las empresas, donde pudieron examinar las actividades en los correos comprometidos y perfeccionar los correos electrónicos dirigidos al personal con acceso a pagos por transferencia bancaria.

A partir de ahí, los atacantes enviaban comunicaciones al objetivo directamente desde una dirección de correo comprometida, personificando cuidadosamente a los proveedores de un cliente o autoridades de nivel superior dentro del negocio. Los atacantes apuntaban específicamente al personal encargado de hacer los pagos de la organización, porque tenían acceso a las cuentas bancarias de la compañía.

Para que las conversaciones por correo electrónico parezcan más legítimas, los atacantes podrían llegar a crear filtros de correo para que las comunicaciones se realicen solo entre el atacante y la víctima, y en algunos casos para monitorizar la bandeja de entrada de un usuario comprometido.