¿Qué es el compromiso de correo electrónico del proveedor y cómo puede protegerse contra él?

 

Todas las empresas confían en el correo electrónico hasta cierto punto. Los ataques basados ​​en correo electrónico contra las empresas son, por lo tanto, una herramienta poderosa para los ciberdelincuentes. También es difícil protegerse contra ellos porque solo requieren que una persona en una empresa interactúe con ellos y se enamore de ellos.

Los correos electrónicos de phishing son los más obvios. Durante un ataque de phishing, se le pide a un empleado que haga clic en un enlace y su contraseña es robada cuando lo hace. Pero las empresas también deben estar atentas a ataques más sofisticados

Vendor Email Compromise (VEC) es un nuevo ataque que se basa en el compromiso de correo electrónico empresarial. Entonces, ¿qué es y cómo funciona?

¿Qué es el compromiso de correo electrónico comercial?

Los ataques de Business Email Compromise (BEC) suelen implicar la suplantación de la identidad de empleados de alto nivel. El atacante primero aprende lo suficiente sobre un negocio para saber quién trabaja allí. Esto no es difícil de hacer porque las empresas a menudo comparten mucha de esta información en línea.

El atacante crea una dirección de correo electrónico que incluye el nombre del director general y se pone en contacto con un empleado que se hace pasar por esa persona. A continuación, se solicitará al empleado que realice una transferencia bancaria urgente. El correo electrónico incluirá una razón plausible para hacerlo y un sentido de urgencia.

El ataque se basa en el hecho de que los empleados a menudo hacen la transferencia por temor a ser despedidos o enfrentar repercusiones.

¿Qué es el compromiso de correo electrónico del proveedor?

Los ataques VEC son un tipo de ataque BEC. A diferencia de los ataques BEC tradicionales, se dirigen específicamente a los proveedores. Los proveedores suelen trabajar con una gran cantidad de negocios diferentes. La idea es que si un atacante puede suplantar con éxito a un proveedor, puede robar a todas esas empresas.

Los ataques VEC requieren más trabajo y tardan más en implementarse. Pero dependiendo del tamaño del vendedor, las ganancias también pueden ser significativamente mayores.

Si bien un empleado puede preguntarse por qué su jefe de repente quiere que haga una transferencia bancaria grande, a menudo es perfectamente normal que un proveedor haga esta solicitud en forma de factura. Un ataque VEC también suele tener como objetivo varias empresas, mientras que un ataque BEC solo tiene como objetivo una.

¿Cómo funciona VEC?

Hay muchas variaciones del compromiso del correo electrónico del proveedor y la cantidad de esfuerzo que se aplica depende del tamaño del proveedor y la rentabilidad potencial. La mayoría de los ataques VEC, sin embargo, incluyen las siguientes fases.

Phishing contra el vendedor

Un ataque VEC exitoso comienza al intentar acceder a las cuentas de correo electrónico asociadas con un proveedor. Esto generalmente se logra mediante el envío de correos electrónicos de phishing a los empleados de la empresa. Si un empleado permite que le roben sus credenciales, el atacante puede acceder a su cuenta y comenzar el ataque.

Aprender sobre el proveedor

Una vez que se roban las credenciales, el atacante puede iniciar sesión en el correo electrónico del empleado y obtener información sobre la empresa y sus clientes. El atacante necesita comprender con qué frecuencia se envían las facturas, cómo se ven y a quién se envían.

Durante esta fase, el atacante suele reenviar todos los correos electrónicos de la cuenta legítima a la suya. Esto les permite realizar un seguimiento del negocio sin seguir accediendo a la cuenta. Esto es necesario porque la información necesaria para cometer el ataque a menudo tarda varias semanas en adquirirse y puede pasar desapercibida.

Ponerse en contacto con los clientes del proveedor

Una vez que se recopila suficiente información sobre el proveedor, el atacante puede intentar hacerse pasar por él. El atacante puede usar la dirección de correo electrónico del proveedor a la que ya tiene acceso. O pueden crear una nueva dirección de correo electrónico que sea similar a la del proveedor.

Luego se comunicarán con los clientes y solicitarán que se realicen grandes transferencias bancarias. En este punto, el estafador comprende cómo aparecen los correos electrónicos legítimos y qué tipo de solicitudes de transferencia tienen sentido. Esto les permite crear correos electrónicos que son muy realistas.

Muchas empresas pagarán la factura automáticamente sin solicitar verificación.

¿Qué sucede si eres víctima de VEC?

El compromiso del correo electrónico del proveedor afecta a dos partes, a saber, la empresa y sus clientes.

Si bien el vendedor puede sufrir daños en su reputación, no pierde dinero directamente ante los atacantes. Se roba información de sus cuentas de correo electrónico, pero esta información se utiliza para robar dinero a otras personas.

Las principales víctimas de este ataque son los clientes. La cantidad que pierden depende de cuánto le paguen al proveedor y de si el atacante es capaz de hacer que envíen más de esa cantidad. Debido a que los atacantes son anónimos, normalmente es imposible recuperar el pago.

Cómo protegerse contra VEC

Tanto los proveedores como sus clientes pueden protegerse de los ataques de VEC aumentando la capacitación de los empleados y cambiando la forma en que se accede a los correos electrónicos.

Capacitar a los empleados para identificar correos electrónicos fraudulentos

Este tipo de ataque se vuelve significativamente más difícil si los empleados que trabajan tanto para el proveedor como para sus clientes están capacitados para detectar correos electrónicos fraudulentos. Todos los empleados deben comprender la amenaza que representa el phishing .

Cualquier correo electrónico que incluya una factura también debe enfrentar un escrutinio adicional antes de realizar cualquier pago. Los correos electrónicos enviados a los clientes del proveedor suelen ser realistas y se envían a la hora habitual. Pero aún pueden detectarse porque la dirección de correo electrónico no coincide o el pago se solicita a una cuenta bancaria diferente.

Implementar la autenticación de dos factores  

La autenticación de dos factores (2FA) puede proteger contra el phishing. Una vez agregado a una cuenta, evita que cualquier persona inicie sesión a menos que tenga acceso al dispositivo 2FA.

Esto evita que se produzcan ataques VEC porque incluso si un empleado proporciona al atacante su contraseña, el atacante no podrá usarla.

El compromiso del correo electrónico del proveedor es una amenaza importante que debe comprenderse

El compromiso de correo electrónico del proveedor es un nuevo tipo de compromiso de correo electrónico comercial que todos los proveedores y sus clientes deben conocer. Es particularmente problemático para las empresas que a menudo pagan sumas significativas de dinero a sus proveedores, pero los propios proveedores también deben ser conscientes del daño potencial a su reputación.

Como la mayoría de los ataques basados ​​en correo electrónico, VEC se basa en que los empleados comerciales no saben cómo identificar correos electrónicos fraudulentos. Por lo tanto, se puede prevenir con un mayor entrenamiento. Simple pero efectivo.