Redacción NM
Los investigadores de seguridad cibernética han descubierto una nueva estafa de phishing de compromiso de correo electrónico comercial (BEC) en la que los actores maliciosos envían correos electrónicos a los empleados corporativos que fingen ser su jefe para que envíen fondos. Según lo informado por ZDNET, esta avanzada campaña BEC reenvía hilos de correo electrónico a las víctimas, engañándolas haciéndoles creer que es un hilo continuo de su jefe. Luego le piden a la víctima que haga un pago o que tramite una factura. Este dinero sería enviado a una cuenta administrada por el atacante. Estos ataques suelen ser personalizados y utilizan la suplantación de correo electrónico para que parezca legítimo.
“Al igual que todos los ataques BEC, la razón por la que las defensas de correo electrónico tradicionales tienen dificultades para detectarlos es porque no contienen ninguno de los indicadores estáticos que buscan la mayoría de las defensas, como enlaces o archivos adjuntos maliciosos. La mayoría de los ataques BEC no son más que pura ingeniería social basada en texto que las defensas de correo electrónico tradicionales no están bien equipadas para detectar”, dijo Crane Hassold, director de inteligencia de amenazas en Abnormal Security, a ZDNET. Abnormal Security es la empresa de ciberseguridad que descubrió la estafa de phishing.
Según los informes, los atacantes utilizan una solicitud de factura que hace que parezca que el dinero se paga a un cliente o a una empresa asociada en un esfuerzo por hacer que la víctima siga las instrucciones sin hacer preguntas ni alertar a alguien. Según el análisis de Abnormal Security, esta campaña ha estado activa desde julio de 2022 y es potencialmente obra de un grupo de amenazas llamado Cobalt Terrapin, que opera desde Turquía.
Es un poco difícil para las empresas defenderse de tales campañas de BEC porque estos ataques se basan en la ingeniería social en lugar de usar malware que podría ser detectado por el software de detección de amenazas.
Una forma en que las empresas pueden defenderse contra tales ataques BEC sería educar a su personal para identificar correos electrónicos fraudulentos. Por ejemplo, tales correos electrónicos fraudulentos podrían incluir solicitudes inusualmente urgentes destinadas a no dar a la víctima suficiente tiempo para pensar antes de actuar. También se debe pedir al personal que verifique dichos correos electrónicos a través de otras formas de comunicación si encuentran algo sospechoso.
