Los atacantes aprovechan los mensajes de 'out-of-office' para lanzar estafas BEC

  • Endpoint

email legitimo

El estafador manipula los encabezados del email, en este caso el campo "Responder a", para apuntar a otra persona dentro de la organización objetivo. La respuesta automática de Fuera de la Oficina del destinatario no se devuelve al remitente, sino a esa otra persona con el mensaje de la estafa.

Recomendados: 

Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar

Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar 

Durante la temporada de vacaciones de Navidad, los estafadores encontraron una manera de aprovechar los mensajes 'out-of-office' de los usuarios para colar mensajes fraudulentos en las bandejas de entrada de las organizaciones. Ese es el hallazgo de los investigadores de Abnormal Security, que dicen que en diciembre de 2020 vieron intentos de evadir la detección automática por parte de los sistemas de seguridad del correo electrónico corporativo, cuando muchos usuarios tenían su mensaje automático 'out-of-office' habilitado en Microsoft 365.

Según los investigadores, el ataque 'out-of-office’ funciona así: un estafador crea un correo electrónico típico de compromiso de correo electrónico empresarial (BEC), diseñado para estafar a una empresa.  Sin embargo, en lugar de simplemente enviar el correo electrónico tal cual, el estafador manipula los encabezados del correo electrónico (en este caso el campo "Responder a") para apuntar a otra persona dentro de la organización objetivo.

Por lo tanto, el correo electrónico se puede enviar a un empleado (llamémosle Juan), pero el encabezado "Responder a" contiene la dirección de correo electrónico de otro empleado (llamémosle Tina). Juan tiene habilitada su respuesta automática 'out-of-office', por lo que cuando recibe el email fraudulento se genera un correo. Sin embargo, este no se devuelve al remitente verdadero, sino a Tina en su lugar, e incluye el texto de extorsión.

Debido a que este correo electrónico se origina en la cuenta de Juan en lugar de alguien externo no puede ser detectado por los sistemas que la compañía ha puesto en marcha para avisar de emails enviados desde fuera de la organización. Además, muchos usuarios confiarán un correo electrónico que parece originarse desde dentro de la organización, en lugar de uno que se ha marcado como procedente de una fuente externa.

Aunque el número de víctimas puede ser comparativamente pequeño, esta técnica indica que los estafadores siempre están buscando nuevos métodos para lograr que sus mensajes fraudulentos lleguen a los empleados confiados.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos