Ha llegado carta.
Recientemente la prensa en Chile dio cuenta de un ataque que entra en la categoría de los denominados CEO fraud. El atacante simuló ser un proveedor. Más bien, aprovechó una conversación real de la víctima con un proveedor y a partir de ahí, tomó las riendas y continuó.
Era una conversación de pagos, de modo que había dinero de por medio. El atacante usó una cuenta de correo muy parecida a la del proveedor, y con habilidad, indicó que hubo un cambio de banco. Luego de varias insistencias, obtuvo el pago. Pero fue más allá y siguió insistiendo, lo que levantó sospechas de la víctima. Pero ya era tarde: habían mandado 500.000 dólares.
Finalmente, luego de investigar lograron revertir una parte de los pagos.
Para realizar este robo, el atacante tuvo que tener acceso a la comunicación, ya sea infiltrando a la víctima o al proveedor. Lo pudo haber hecho teniendo acceso a alguna de las cuentas de correo electrónico o con la información de algún insider. Una vez logrado eso, creó una dirección de correo muy parecida al del proveedor para confundir a la víctima. Lo demás fueron correos electrónicos, una cuenta en un banco en Ucrania y posiblemente alguna colusión con un funcionario del banco.
Quizás te interese seguir leyendo ¿Cómo mantener su negocio seguro en la nueva normalidad?
Un ataque a los seres humanos
Quedó lejos la imagen tradicional del hacker metido en las entrañas de los sistemas, ejecutando herramientas temibles y comando exóticos entre pantallas de crípticos mensajes. El mundo del fraude por correo, dentro de las amenazas informáticas, es diferente. No es un ataque a un sistema informático, es un ataque que se produce en una capa superior, en la capa de los seres humanos, apelando a nuestras emociones y a nuestra naturaleza. Es un ataque que nos impulsa a hacer click por nuestra voluntad.
Los ataques por correo electrónico se han convertido en un componente omnipresente en el catálogo de los grupos cibercriminales y la comunidad de seguridad ha parecido resignarse a ello. Los nombres son variados: phishing, spear phishing, whaling, CEO Fraud, Business Email Compromise. En el origen de estos ataques hay dos elementos, el correo electrónico como vector y la persona como sistema a ser vulnerado.
Los ataques de este estilo han proliferado en la región. No es de extrañar, ya que son muy fáciles de ejecutar. Pero el panorama es más amplio, el correo electrónico es vector a una variedad de ataques, donde el phishing es el más conocido y su variante, el spear phishing, es una parte relevante en lo referido a ataques de alta sofisticación.
Estar preparado para la sofisticación
Los sistemas de protección del correo electrónico de las organizaciones no han sido suficientes para prevenir estos ataques y garantizar las comunicaciones seguras. Un complemento razonable es entrenar a los usuarios. Este mecanismo funciona en un sentido que genera niveles de conciencia superiores y hemos visto su efectividad en reducir la probabilidad de un ataque. Los seres humanos somos sistemas esculpidos por la evolución, reaccionamos de manera cuasi automática frente a estímulos como el miedo o la oportunidad. Nuestra amígdala toma el control y nos hace correr, gritar, pelear, hacer click. Somos seres ampliamente emocionales y un estado emocional, ya sea una pelea con el jefe o un problema amoroso cambia nuestra percepción del mundo. No somos muy confiables para esta tarea.
Sigue leyendo Tendencias de seguridad para el 2021 según nuestros expertos
Es por lo anterior que debemos ir más allá. La industria está avanzando en este sentido apoyándose en la tecnología. Sobre todo quienes nos especializamos en servicios de seguridad corporativa. Existen tecnologías que pueden analizar las características de la comunicación de cada usuario, del contenido de cada correo, de orígenes sutilmente diferentes para poder identificar estos ataques que se producen en este sistema que somos nosotros. Las tecnologías de machine learning, desde sus desapasionada distancia, podrán mantenernos en alerta y advertirnos ante eventuales problemas diciéndonos "calma, mira que curioso, ese no es quién dice que es".
¿Cómo está su empresa preparada para esté tipo de ataques?
¿Tiene dudas?
