Así funcionan los ataques BEC: “phishing” en el que se hacen pasar por tu jefe

No es uno de los tipos de ciberataques de los que más se habla, pero sí de los más difíciles de detectar por las soluciones de ciberseguridad de las empresas y ha costado globalmente más de 43.000 millones de dólares en pérdidas entre junio de 2016 y diciembre de 2021, según el FBI. Se llama BEC (Business Email Compromise) y no depende de malware o del phishing más común que redirige a una página web fraudulenta, sino en la ingeniería social y engañar al factor humano. Desde un punto de vista técnico, es el ataque más sencillo que se puede hacer.

La firma de ciberseguridad Abnormal Research ha investigado los detalles de una campaña BEC que está llevando a cabo un grupo identificado como Cobalt Terrapin desde el pasado mes de julio y que califica como “un nuevo y sofisticado ataque BEC”, según recoge el medio ZDnet.

Los ciberdelincuentes envían un correo electrónico suplantando la identidad de un jefe o responsable de la víctima, generalmente a una persona del departamento financiero de una empresa. En el mail, el falso jefe pide realizar una transferencia de dinero de forma urgente a una determinada empresa que en realidad llegará a una cuenta operada por los atacantes.

Para conseguir que una petición así sea atendida, el mail enviado debe resultar creíble y ahí entra en juego la ingeniería social y la investigación sobre la víctima y su empresa para pergeñar el engaño.

El mail fraudulento forma parte de una conversación con una cadena de correos en los que se incluye la factura a pagar, suplantando a una empresa con la que la compañía de la víctima ya tenga relación comercial. Los atacantes utilizan tácticas de mail spoofing para que el encabezado del mensaje pase por un correo estándar de la organización.

Si la víctima consulta la dirección de correo remitente puede descubrir el engaño, por lo que todo lo demás (nombre del remitente, asunto, estilo de redacción, encabezamiento del cuerpo del mensaje, la factura incluida, los otros mensajes incluidos de la compañía a la que se supone hay que pagar…) está encaminado a generar confianza y que la víctima no se moleste en hacer esa comprobación que puede desmontar el engaño. Por último, las adecuadas dosis de urgencia pueden inclinar la balanza del lado del atacante y hacer pensar al objetivo que se le pide realizar una operación legítima y llevarla a cabo.

Este tipo de ataques funcionan porque no intentan sortear las barreras de seguridad por software sino que se enfocan en el factor humano. “Al igual que todos los ataques BEC, la razón por la que las defensas de correo electrónico tradicionales tienen dificultades para detectarlos es porque no contienen ninguno de los indicadores estáticos que buscan la mayoría de las defensas, como enlaces o archivos adjuntos maliciosos. La mayoría de los ataques BEC no son más que pura ingeniería social basada en texto que las defensas de correo electrónico tradicionales no están bien equipadas para detectar”, ha explicado Crane Hassol, director de Inteligencia de Amenazas en Abnormal Security.

La mejor defensa para la empresas, en este caso, pasa por la formación de los empleados en identificar correos fraudulentos y comprobar siempre la dirección remitente de los mensajes.