Seguridad

Proteja el correo electrónico corporativo con detección BEC basada en intención

Estafa de correo electrónico de phishing.Imagen: Adobe Stock

En un compromiso de correo electrónico comercial, por lo general, el atacante utiliza técnicas de correo electrónico e ingeniería social para que alguien con poder financiero en la empresa transfiera fondos a una cuenta bancaria propiedad del atacante. Este tipo de fraude es una estafa sofisticada dirigida a empresas e individuos que realizan transferencias de dinero legítimas.

Las estadísticas del Centro de Quejas de Delitos en Internet del FBI, las fuerzas del orden público y las presentaciones de instituciones financieras indican que solo BEC causó más de $43 mil millones en pérdidas por exposición entre 2016 y 2023.

Detección e interceptación de BEC en función de las características del correo electrónico

Los atacantes de BEC utilizan diferentes técnicas de ingeniería social, pero la mayoría de las veces utilizan el correo electrónico para hacerse pasar por una persona legítima conectada con el objetivo. Para lograr esto, normalmente registran una dirección de correo electrónico cercana a la dirección legítima de la persona suplantada.

VER: Contraseñas filtradas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Tecnopedia)

Entonces, una forma de explotar esta situación para bloquear podría ser permitir solo correos electrónicos externos de remitentes confiables. Otra variante consiste en bloquear los correos electrónicos de los proveedores de correo electrónico gratuitos, ya que los estafadores suelen utilizarlos, como expuso Cisco Talos (Figura A).

Figura A

Dominios de correo electrónico utilizados por los atacantes BEC.Imagen: Cisco Talos. Dominios de correo electrónico utilizados por los atacantes BEC.

Sin embargo, la creación de listas de bloqueo de correo electrónico puede ser difícil para los usuarios, ya que a veces reciben correos electrónicos externos de personas que no se han agregado a su lista de confianza.

Algunas opciones de software de seguridad pueden ser útiles para implementar la detección de correo electrónico BEC basada en políticas. Estas soluciones suelen almacenar el nombre y la dirección de correo electrónico del ejecutivo en una base de datos que se utiliza para cada correo electrónico entrante. Si el nombre se encuentra en el campo «De» del correo electrónico y no coincide con el nombre legítimo almacenado en la base de datos, se genera una alerta de intento de BEC.

Informes de seguridad de lectura obligada

Este tipo de detección también tiene una limitación obvia: si el correo electrónico proviene de alguien que no sea un ejecutivo, no se generará ninguna alerta. En algunos casos, también es posible que un atacante falsifique una dirección legítima en el campo «De», pero use un campo «Responder a» diferente, lo que puede ayudar a eludir algunas pruebas.

En algunos casos, los estafadores pueden haber comprometido los buzones de los ejecutivos y pueden enviar correos electrónicos haciéndose pasar por ellos sin alertar sobre dichas detecciones.

Otro enfoque: construcción de perfil de modelo basado en ML

Según la investigación de Talos, los perfiles ejecutivos de nivel C se pueden crear analizando todos los correos electrónicos con algoritmos de aprendizaje automático.

Este perfil se basará en varios elementos, como el estilo de escritura de la persona, la actividad, la ubicación geográfica cuando se envió el correo electrónico y la marca de tiempo de publicación. También es posible generar un gráfico de relaciones que capture las interacciones de correo electrónico de la persona con otras personas.

En caso de cualquier desviación del perfil, se puede emitir una alerta BEC.

Al igual que los ensayos tradicionales, este método tiene algunas limitaciones. La generación de perfiles debe realizarse a partir del tráfico real, y la recopilación de datos, la creación de modelos y la capacitación toman tiempo. Además, construirlo para cada empleado de la empresa es un desafío.

En cuanto a los no ejecutivos que se hacen pasar por personal de la empresa, Talos dice que son ingenieros más del 50% del tiempo (Figura B).

Figura B

Encabezado de correo electrónico BEC suplantando al director no ejecutivo.Imagen: Cisco Talos. Encabezado de correo electrónico BEC suplantando al director no ejecutivo.

Método de detección de BEC basado en la intención

Este enfoque tiene como objetivo resolver el mayor problema de los enfoques basados ​​en políticas y algoritmos de aprendizaje automático: la falta de escalabilidad del modelo y la dificultad de mantener una base de datos de las direcciones de correo electrónico de los remitentes y sus nombres.

Para superar estas limitaciones en la detección del fraude BEC, Talos proporciona un enfoque basado en la intención.

Este enfoque divide la detección de amenazas BEC en dos problemas distintos. El primero es un problema de clase binaria. Clasifica los correos electrónicos como mensajes BEC. El segundo es un problema de clasificación múltiple, clasificando los BEC como tipos fraudulentos.

VER: Optimice y asegure los dispositivos Apple de su equipo con Jamf Now (Academia Tecnopedia)

Los investigadores explican que el enfoque basado en la intención no solo detecta los correos electrónicos de BEC, sino que los clasifica como un tipo de estafa de BEC: nómina, transferencia de dinero, solicitud inicial, estafa de tarjetas de regalo, estafa de facturas, estafa de adquisición, estafa de W2, informe de antigüedad y muchas más. más.

Desde un punto de vista técnico, implica extraer texto de correo electrónico y convertir oraciones en vectores numéricos. Esta transformación se basa en el algoritmo NNLM o BERT, que toma el significado de las palabras en una oración y luego utiliza una red neuronal profunda para la detección y clasificación. El resultado final es la probabilidad de que el correo electrónico sea un intento de BEC. La baja confianza en los resultados conducirá a una detección más analítica para proporcionar un indicador de confianza final.

Este método funciona sin importar quién se esté suplantando en la empresa.

Figura C

Compare diferentes métodos de detección de BEC.Imagen: Cisco Talos. Compare diferentes métodos de detección de BEC.

necesidad de crear conciencia

Independientemente de qué solución automatizada se implemente para proteger a las empresas y los empleados del fraude BEC, sigue siendo una adición importante para capacitar a los empleados y crear conciencia sobre qué es el fraude BEC, cómo ocurre, qué técnicas de ingeniería social utiliza y qué debería despertar sospechas.

Los usuarios también deben ser conscientes de que el fraude BEC puede ocurrir no solo por correo electrónico, sino también por voz. Algunos fraudes de BEC pueden usar llamadas telefónicas o incluso mensajes de texto para contactar a los empleados.

Cualquier intento de cambiar el modus operandi de una transferencia financiera, cualquier cambio repentino de la cuenta bancaria receptora debe ser alertado e investigado de inmediato. Los usuarios objetivo nunca deben tener miedo de contactar al remitente de la solicitud a través de otros canales de comunicación para confirmar que no hay ninguna estafa en curso.

Proteja los dispositivos móviles de su equipo y detecte estafas de phishing más rápido con las políticas de seguridad de dispositivos móviles de los expertos en políticas de Tecnopedia Premium.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

LEER  La verdadera razón por la que las empresas no se toman la seguridad en serio: su dinero no está en línea

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba