Gabriel Brooks
0 
1485
188
El correo electrónico es un vector de ataque común utilizado por estafadores y delincuentes informáticos. Pero si pensaba que solo se usaba para propagar malware, phishing y estafas de tarifas anticipadas nigerianas ¿Los correos electrónicos de estafa nigerianos esconden un secreto terrible? [Opinión] ¿Los correos electrónicos de estafa nigerianos esconden un secreto terrible? [Opinión] Otro día, otro correo electrónico no deseado cae en mi bandeja de entrada, de alguna manera trabajando alrededor del filtro de correo no deseado de Windows Live que hace un buen trabajo al proteger mis ojos de todos los demás no solicitados ..., piénselo de nuevo. Hay una nueva estafa impulsada por correo electrónico en la que un atacante simulará ser su jefe y le hará transferir miles de dólares de fondos de la compañía a una cuenta bancaria que controle.
Se llama CEO Fraud, o “Suplantación de identidad”.
Entendiendo el ataque
Entonces, ¿cómo funciona el ataque? Bueno, para que un atacante lo logre con éxito, necesitan saber mucha información sobre la compañía a la que apuntan.
Gran parte de esta información trata sobre la estructura jerárquica de la empresa o institución a la que apuntan. Necesitarán saber quien ellos se harán pasar por ellos. Aunque este tipo de estafa se conoce como “Fraude del CEO”, en realidad se dirige nadie con un rol superior: cualquier persona que pueda iniciar pagos. Necesitarán saber su nombre y su dirección de correo electrónico. También sería útil saber su horario y cuándo viajarían o estarían de vacaciones..
Finalmente, necesitan saber quién en la organización puede emitir transferencias de dinero, como un contador o alguien empleado del departamento de finanzas..
Gran parte de esta información se puede encontrar libremente en los sitios web de la empresa en cuestión. Muchas empresas medianas y pequeñas tienen “Sobre nosotros” páginas, donde enumeran a sus empleados, sus roles y responsabilidades, y su información de contacto.
Encontrar los horarios de alguien puede ser un poco más difícil. La gran mayoría de las personas no publican su calendario en línea. Sin embargo, muchas personas publicitan sus movimientos en sitios de redes sociales, como Twitter, Facebook y Swarm (anteriormente Foursquare). Relanzamientos de Foursquare como herramienta de descubrimiento basada en sus gustos. Relanzamientos de Foursquare como herramienta de descubrimiento basada en sus gustos. Foursquare fue pionero en el check-in móvil; una actualización de estado basada en la ubicación que le dijo al mundo exactamente dónde estaba y por qué, entonces, ¿el cambio a una herramienta de descubrimiento puro es un paso adelante? . Un atacante solo necesitaría esperar hasta que haya salido de la oficina, y puede atacar.
Estoy en St George's Market - @ stgeorgesbt1 en Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 de enero de 2016
Una vez que el atacante tenga todas las piezas del rompecabezas que necesita para llevar a cabo el ataque, enviará un correo electrónico al empleado de finanzas, pretendiendo ser el CEO, y solicitando que inicien una transferencia de dinero a una cuenta bancaria que controlan.
Para que funcione, el correo electrónico debe verse genuino. Usarán una cuenta de correo electrónico que parezca 'legítima' o plausible (por ejemplo [email protected]), o "falsificando" el correo electrónico genuino del CEO. Aquí será donde se envía un correo electrónico con encabezados modificados, por lo que el “Desde:” El campo contiene el correo electrónico genuino del CEO. Algunos atacantes motivados intentarán que el CEO les envíe un correo electrónico, para que puedan duplicar el estilo y la estética de su correo electrónico..
El atacante esperará que el empleado financiero sea presionado para iniciar la transferencia sin consultar primero con el ejecutivo objetivo. Esta apuesta a menudo vale la pena, y algunas compañías han pagado involuntariamente cientos de miles de dólares. Una empresa en Francia que fue perfilada por la BBC perdió 100.000 euros. Los atacantes trataron de obtener 500,000, pero todos menos uno de los pagos fueron bloqueados por el banco, quien sospechó fraude.
Cómo funcionan los ataques de ingeniería social
Las amenazas tradicionales a la seguridad informática tienden a ser de naturaleza tecnológica. Como resultado, puede emplear medidas tecnológicas para derrotar estos ataques. Si se infecta con malware, puede instalar un programa antivirus. Si alguien ha estado intentando hackear su servidor web, puede contratar a alguien para que realice una prueba de penetración y le aconseje sobre cómo puede 'endurecer' la máquina contra otros ataques.
Ataques de ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica] ¿Qué es la ingeniería social? [MakeUseOf explica] Puede instalar el firewall más potente y costoso de la industria. Puede educar a los empleados sobre los procedimientos básicos de seguridad y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ..., de los cuales el fraude del CEO es un ejemplo, es mucho más difícil de mitigar, porque no están atacando sistemas o hardware. Están atacando a la gente. En lugar de explotar vulnerabilidades en el código, aprovechan la naturaleza humana y nuestro imperativo biológico instintivo para confiar en otras personas. Una de las explicaciones más interesantes de este ataque se hizo en la conferencia DEFCON en 2013.
Algunos de los hacks más audaces fueron producto de la ingeniería social..
En 2012, el ex periodista de Wired Mat Honan se vio atacado por un grupo determinado de ciberdelincuentes, quienes estaban decididos a desmantelar su vida en línea. Mediante el uso de tácticas de ingeniería social, pudieron convencer a Amazon y Apple de que les proporcionaran la información que necesitaban para limpiar de forma remota su MacBook Air y iPhone, eliminar su cuenta de correo electrónico y aprovechar su influyente cuenta de Twitter para publicar epítetos raciales y homofóbicos. . Puedes leer la historia escalofriante aquí.
Los ataques de ingeniería social no son una nueva innovación. Los hackers los han estado utilizando durante décadas para obtener acceso a sistemas, edificios e información durante décadas. Uno de los ingenieros sociales más notorios es Kevin Mitnick, quien a mediados de los años 90 pasó años ocultándose de la policía, luego de cometer una serie de delitos informáticos. Fue encarcelado durante cinco años y se le prohibió usar una computadora hasta 2003. A medida que los piratas informáticos van, Mitnick fue lo más cercano posible a tener el estatus de estrella de rock 10 de los piratas informáticos más famosos y mejores del mundo (y sus historias fascinantes) 10 de los hackers más famosos y mejores del mundo (y sus historias fascinantes) Hackers de sombrero blanco versus hackers de sombrero negro. Aquí están los mejores y más famosos hackers de la historia y lo que están haciendo hoy. . Cuando finalmente se le permitió usar Internet, fue televisado por Leo Laporte Los protectores de pantalla.
Finalmente se hizo legítimo. Ahora dirige su propia firma de consultoría en seguridad informática y ha escrito varios libros sobre ingeniería social y piratería. Quizás el más considerado es “El arte del engaño”. Esta es esencialmente una antología de historias cortas que analizan cómo se pueden realizar los ataques de ingeniería social y cómo protegerse contra ellos. Cómo protegerse contra los ataques de ingeniería social Cómo protegerse contra los ataques de ingeniería social La semana pasada echamos un vistazo a Algunas de las principales amenazas de ingeniería social que usted, su empresa o sus empleados deben tener en cuenta. En pocas palabras, la ingeniería social es similar a un ..., y está disponible para su compra en Amazon.
¿Qué se puede hacer sobre el fraude del CEO??
Entonces, recapitulemos. Sabemos que el CEO Fraud es horrible. Sabemos que a muchas empresas les cuesta mucho dinero. Sabemos que es increíblemente difícil de mitigar, porque es un ataque contra humanos, no contra computadoras. Lo último que queda por cubrir es cómo luchamos contra él..
Esto es más fácil dicho que hecho. Si es un empleado y ha recibido una solicitud de pago sospechosa de su empleador o jefe, puede consultar con ellos (utilizando un método que no sea el correo electrónico) para ver si era genuino. Puede que estén un poco molestos contigo por molestarlos, pero probablemente lo estarán Más molesto si terminó enviando $ 100,000 de fondos de la compañía a una cuenta bancaria extranjera.
Existen soluciones tecnológicas que también se pueden utilizar. La próxima actualización de Microsoft a Office 365 contendrá algunas protecciones contra este tipo de ataque, al verificar la fuente de cada correo electrónico para ver si proviene de un contacto confiable. Microsoft reconoce que han logrado una mejora del 500% en cómo Office 365 identifica correos electrónicos falsificados o falsificados.
No te piquen
La forma más confiable de protegerse contra estos ataques es ser escéptico. Siempre que reciba un correo electrónico que le pida que realice una transferencia de dinero grande, llame a su jefe para ver si es legítimo. Si tiene alguna influencia con el departamento de TI, considere pedirles que se muden a Office 365 Una introducción a Office 365: ¿debe comprar en el nuevo modelo de negocio de Office? Una introducción a Office 365: ¿debe comprar en el nuevo modelo de negocio de Office? Office 365 es un paquete basado en suscripción que ofrece acceso a la última suite de escritorio de Office, Office Online, almacenamiento en la nube y aplicaciones móviles premium. ¿Office 365 proporciona suficiente valor para que valga la pena? , que lidera el grupo cuando se trata de luchar contra el Fraude del CEO.
Ciertamente espero que no, pero ¿alguna vez has sido víctima de una estafa de correo electrónico motivado por el dinero? Si es así, quiero escucharlo. Deja un comentario a continuación y dime qué pasó.
Créditos de las fotos: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)