Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Hallazgos de Darktrace en correos electrónicos: El ataque de suplantación de identidad de un miembro de la junta apunta a la cuenta de Gmail

Mariana Pereira, Director of Email Security Products

El correo electrónico y otras plataformas de comunicación se basan en una suposición de confianza que, dada la mayor dependencia de las plataformas durante la pandemia, nunca han estado bajo mayor escrutinio. La eficacia misma del correo electrónico depende del hecho de que los empleados confíen en el origen de las solicitudes y la información que llega a su bandeja de entrada todos los días. Esto es especialmente cierto cuando los correos electrónicos provienen de una figura conocida, como un proveedor, socio o ejecutivo de confianza, incluso uno que no es un interlocutor frecuente.

Esta es la razón por la que los ataques de suplantación de identidad son tan peligrosos y por qué, dadas sus tasas de éxito, los cibercriminales los utilizan aún más. Recientemente, Darktrace observó tres ataques de correo electrónico dirigidos a personas de alto perfil en una organización de servicios financieros, cada uno enviado desde tres cuentas de correo independientes que se hacen pasar por el CEO, el CFO y un miembro de la junta directiva.

No es inusual que los miembros de la junta envíen correos desde direcciones externas a la empresa a la que pertenecen. Un inversor puede optar por utilizar la cuenta de su empresa o su correo electrónico personal. Muchas organizaciones tienen disponible públicamente en sus sitios web, una biografía de sus miembros de la junta y ejecutivos, que incluye referencias a otras actividades en las que participan. Esto proporciona fácilmente información contextual relevante a los posibles atacantes. Por ello, los ataques de suplantación de identidad son altamente personalizados y muy efectivos.

Los ataques de phishing que no fueron detectados

Este ataque se detectó en el entorno de Gmail de un cliente de Antigena Email. En el transcurso de una sola semana, los correos electrónicos maliciosos pasaron por alto las herramientas de seguridad existentes e intentaron solicitar información confidencial de tres miembros del personal de alto nivel. Cada uno se envió en un día diferente, desde direcciones diferentes, pero la dirección ASN reveló que los tres parecían tener el mismo origen. Esto sugiere que los tres correos electrónicos fueron enviados por el mismo atacante y que intentaba hacerse pasar por algunos usuarios clave para obtener acceso a los detalles de la empresa.

Figura 1: una descripción general de los tres correos electrónicos identificados en la misma semana

Al examinar el correo electrónico más reciente, vemos el análisis de la amenaza de Antigena Email. Este correo electrónico parece ser un ataque de solicitud o suplantación de identidad dirigido, que imita a un miembro de la junta y se dirige a una persona de alto rango en el departamento de finanzas.

Podemos ver en la puntuación de anomalía del 86% que Antigena Email entendió este correo electrónico como significativamente inusual. Las etiquetas resumen los principales hallazgos: el correo electrónico mostró signos de incentivación, pero curiosamente no parecía contener archivos adjuntos o enlaces. Este es un método común que utilizan los atacantes para evadir las herramientas tradicionales que dependen de listas de acceso y denegación, ataques conocidos, reglas y firmas para detectar y detener ataques de correo electrónico. Al no tener enlaces maliciosos para marcar las herramientas tradicionales, estos ataques se escapan fácilmente de las soluciones de seguridad tradicionales.

86%
Fri Jul 03 2020, 17:24:05
From:David Smith <[email protected]>
Recipient:Vanessa Milanez <[email protected]>
[no subject]
Email Tags
Solicitation
No Association
Freemail
New Contact
Actions on Email
Move to Junk

Atrapar lo sutil y sigiloso con la IA

Este fue claramente un ataque bien planeado. La variedad de remitentes, la inconsistencia en los correos electrónicos y los intervalos de tiempo entre los mensajes, sugieren que se trataba de un atacante que se estaba tomando su tiempo. En lugar de confiar en un enfoque de “spray and pray”, enviando miles de correos electrónicos con la esperanza de que uno o dos usuarios queden enganchados, pasaron tiempo investigando la organización, elaborando mensajes altamente personalizados y bien escritos en un intento de obtener un punto de apoyo.

El atacante seguramente creía que esta estrategia lenta y sigilosa podría haber dado sus frutos con grandes recompensas, dirigiendo los ataques solo a personas de alto perfil. Este enfoque podría haber tenido éxito sin la tecnología de seguridad de correo electrónico de autoaprendizaje de Darktrace, que analiza activamente cada correo electrónico en tiempo real.

De hecho, estos correos electrónicos bien investigados y cuidadosamente elaborados serían casi imposibles de identificar solo con herramientas tradicionales. Por suerte, al implementar la Cyber AI para correo electrónico, y dado que puede aprender los patrones de comunicación y comportamiento normales de cada empleado en una empresa, las organizaciones pueden detectar y prevenir este tipo de ataques sigilosos que a menudo se ocultan tras el ruido de las comunicaciones por correo electrónico.

Para obtener un análisis de otros 13 ataques de correo electrónico, lea el Informe de amenazas para seguridad del correo electrónico.

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.