Fabricantes | Así son los ataques conocidos como el 'fraude del CEO'

Tras una investigación de nueve meses, Trend Micro desvela las técnicas que utilizan los cibercriminales.

El 'fraude del CEO' se ha extendido en los últimos años
El 'fraude del CEO' se ha extendido en los últimos años

Los ataques de Business Email Compromise (BEC), también conocidos como el 'fraude del CEO', se han extendido enormemente en los últimos años, con un crecimiento proyectado de más de 9.000 millones en 2018. La combinación de simplicidad y efectividad ha permitido que la modalidad de ataque BEC continúe siendo una de las más populares, especialmente para aquellos que carecen de herramientas y conocimientos especiales para llevar a cabo esquemas más complicados de ataque.

Trend Micro ha examinado incidentes relacionados con este tipo de ataques durante un período de nueve meses (de enero a septiembre de 2017) para ver las tendencias actuales y emergentes de estos incidentes, examinar las herramientas y técnicas que utilizan los cibercriminales y analizar los datos.

Según la compañía especializada en soluciones contra amenazas en la web, los ataques BEC pueden reducirse a dos técnicas principales:

1.- Captura de credenciales, que conlleva el uso de keyloggers y kits de phishing para robar credenciales y acceder al correo web de las organizaciones objetivo.

2.- Sólo correo electrónico, que incluye un correo electrónico enviado a alguien del departamento financiero (generalmente al CFO) de la empresa objetivo. Los atacantes diseñan el email para que parezca que éste ha sido enviado por un directivo de la compañía, por lo general dando instrucciones al objetivo para que realice una transferencia de dinero. En la mayoría de los casos, esa petición de transferencia es para roceder al pago de un proveedor o como un favor personal.

CAPTURA DE CREDENCIALES

Las técnicas de captura de credenciales se pueden categorizar en aquellas que emplean malware y aquellas que utilizan phishing.

Las técnicas de captura de credenciales emplean tanto malware como phishing

Al examinar las muestras de archivos adjuntos maliciosos que tenían nombres de archivo que podían clasificarse claramente, el equipo de Trend Micro definió los más destacados: orden de compra, pago, factura, recibo, comprobante, cuenta, consejo y transferencia.

También se examinaron los archivos adjuntos maliciosos de ataques BEC relacionados con phishing, entre los que se encontraron las siguientes categorías con el nombre de archivo más común: orden de compra, pago, PDF, factura o cotización.

La investigación puso en escena a dos jugadores clave: Ardamax, un software de 50 dólares que ofrece a un agente BEC las funciones básicas que necesitaría para operar; y LokiBot, una conocida familia de malware que se usa cada vez más en los ataques BEC.

ATAQUES DE CORREO ELECTRÓNICO

Por su parte, los ataques BEC sólo de correo electrónico utilizan técnicas de ingeniería social. En pocas palabras, estos ataques emplean un email diseñado para que parezca lo más creíble posible. Este tipo de ataques normalmente implican el uso inteligente del apartado Asunto, de la parte de 'Responder a', además de dónde viene el correo electrónico.

Asimismo, los actores de los ataques BEC también crean direcciones de email de apariencia legítima diseñadas para suplantar a los ejecutivos de la compañía, ya sea mediante el uso de proveedores de webmail poco fiables o registrando un dominio de imitación que se asemeje o haga referencia a la empresa objetivo.

OTRAS TRIQUIÑUELAS

Trend Micro también ha analizado cómo los agentes BEC compran sus herramientas, especialmente los sitios web de phishing que utilizaron en sus ataques. Uno de los métodos más comunes conlleva el uso de kits de phishing (scampages) como la principal fuente de ataques. El examen de estos websites ha permitido identificar a un agente BEC y aprender cómo este individuo obtuvo y utilizó sus herramientas.

Los cibercriminales recurren a múltiples sitios para realizar sus ataques

Los investigadores han encontrado huellas de este individuo en múltiples sites de phishing, lo que ha proporcionado pistas sobre cuántos agentes BEC recurren a múltiples sitios para realizar sus ataques.

También suelen interactuar y tener acceso a mercados clandestinos que pueden proporcionarles las herramientas que necesitan para lograr ataques efectivos. Incluso existen tutoriales de spam que pueden ayudar a iniciar esta operación. Esto significa que los agentes, las herramientas y las técnicas BEC son fácilmente accesibles.

Cerrar

Inicia sesión con email

He olvidado mi contraseña