Con motivo del cierre de ejercicio, y ante situaciones de regularización y el pago de facturas de final de año, en el que optamos por agilizar trámites con envíos de correos electrónicos, resulta fundamental que tengáis en cuenta una serie de recomendaciones, derivadas del crecimiento de ciberataques en este ámbito.

 

En este sentido, destaca la figura del “Business E-mail Compromise”, fraude destinado a empresas que realizan transferencias electrónicas de dinero, en el que un ciberdelincuente suplanta la identidad de uno de los proveedores e intercepta el correo de facturación que nos envía, modificando la cuenta del blanco donde realizar los pagos, de forma que se realice la transferencia a una cuenta contralada por el ciberdelincuente.

Ante este incidente de seguridad, las opciones pueden ser las siguientes:

En primer lugar, que nuestra cuenta de correo electrónico se encuentre comprometida

IEn este caso, el ciberdelincuente ha podido acceder a nuestra cuenta y ha creado una regla de entrada en nuestro buzón de correo. Esta regla, funciona reenviando todo el correo procedente de facturacion@proveedor.com, a una cuenta de correo desconocida, ciberdelincuente@email.ru, además, mueve el correo de la bandeja de entrada a una carpeta oculta, para que no lo detectemos.

Si revisamos las cabeceras del correo que hemos recibido con la cuenta bancaria modificada se detecta que la dirección desde la que se envió la factura es facturacion@proveedor.com. El atacante ha creado un dominio muy parecido al de Proveedor S.A. para suplantar su identidad y cometer el fraude.

En segundo lugar, que la cuenta de correo de nuestro proveedor se encuentre comprometida

En este caso, nuestro proveedor recibe llamadas de clientes que han recibido correos con facturas con el número de cuenta modificado, es decir, su correo está comprometido. Aparentemente los correos se envían desde la dirección legítima.

Se detecta una regla de salida en el buzón de correo del proveedor, que ellos no habían configurado. Esta regla, funciona interceptando todo el correo saliente con facturas hacia clientes, y los reenvía a una cuenta de correo desconocida, ciberdelincuente@email.

Es posible que su cuenta siga comprometida, ya que los correos a clientes están siendo enviados desde el correo legítimo. Es probable que el ciberdelincuente esté interceptando, toda la información que llega al buzón del proveedor para posteriormente acceder al correo de facturación del proveedor para cometer el fraude.

Ante este incidente que se presenta, desde GRUPO DATA os trasladamos una serie de recomendaciones publicadas por el Instituto Nacional de Ciberseguridad:

¿CÓMO HA SUCEDIDO LO ANTERIOR?

En este caso, la victima está esperando un correo con la factura de un proveedor, por tanto, confía del correo recibido y presta menos atención a las características y apariencia del mismo. Pero, ¿cómo han accedido a nuestro correo electrónico?

Los motivos pueden ser los siguientes:

• Han entrado en nuestra cuenta de correo por falta de concienciación:
  • tenemos equipos sin acceso por contraseña;
  • nuestras contraseñas están escritas en papeles accesibles o a la vista;
  • tenemos las contraseñas almacenadas en texto plano en el propio equipo, es decir, en cualquier fichero;
  • utilizamos contraseñas poco robustas;
  • no utilizamos doble factor de autenticación.

 

• Si han obtenido las credenciales de nuestra cuenta de correo:
  • utilizando ingeniería social;
  • hemos introducido las credenciales (usuario y contraseña) al caer en alguna campaña de phishing suplantando a otra empresa, bancos, entidades de referencia, herramienta o servicio (cloud, Microsoft 365, etc.);
  • shoulder surfing: visualizan las credenciales cuando las tecleamos o si hay una cámara espiando.

 

• Hemos sido infectados por malware que puede espiar y robar nuestras credenciales. En particular keyloggers que es un malware que registra nuestras pulsaciones en el teclado. Estos también pueden ser de tipo hardware, por ello revisaremos que no hay ningún dispositivo extraño conectado a nuestros ordenadores y servidores.

 

• Lanzan ataques automatizados contra el servidor de correo con contraseñas comunes o contraseñas filtradas por brechas de seguridad

 

Podemos comprobar si alguna de nuestras cuentas está en una filtración que haya tenido lugar debida a brechas de seguridad de algún servicio, red social o aplicación que utilicemos:

• • • https://haveibeenpwned.com/
    • https://monitor.firefox.com/

Para evitar este tipo de ataques de ingeniería social resulta fundamental adoptar medidas de seguridad tendentes a mitigar este riesgo y fomentar en el seno de la entidad una cultura de protección de datos para todos los usuarios intervinientes en el tratamiento de datos.

 

 

Publicado el 30 de Diciembre de 2022
Por María González
Responsable del Departamento Jurídico