Hace poco una importante empresa brasileña nos contactó en busca de ayuda para investigar un incidente. Básicamente el problema era que los cibercriminales habían comenzado a distribuir spam utilizando las direcciones de sus empleados. Es decir, no se hacían pasar por remitentes legítimos, como suele ser el caso, sino que enviaban directamente los mensajes a través del servidor de correo de la empresa. Tras una investigación exhaustiva, pudimos dar con el procedimiento de los atacantes.
Estrategia de ataque
En primer lugar, los estafadores enviaron los correos phishing a los empleados para comunicarles que su buzón de entrada estaba a punto de bloquearse por alguna u otra razón, e invitarles a acceder a un enlace para actualizar la información de su cuenta. El enlace, desde luego, dirigía a un formulario phishing que solicitaba las credenciales de inicio de sesión del sistema.
Las víctimas completaron el formulario y concedieron a los estafadores el acceso total a sus cuentas de correo electrónico. Una vez conseguido el acceso, los estafadores comenzaron a enviar spam desde las cuentas comprometidas sin necesidad de alterar el contenido de los encabezados, puesto que ya eran legítimos. Es decir, el spam se enviaba desde servidores de confianza, de esta forma no levantaba las sospechas de los filtros.
Tras conseguir el control de los buzones de entrada, los cibercriminales siguieron con la siguiente oleada de correos electrónicos. Pero, en este caso los estafadores enviaron “spam nigeriano” en varios idiomas (aunque en teoría el spam podría ser cualquier cosa, desde una oferta de medicamentos del mercado negro, hasta una infección con malware).
La investigación mostró que esta empresa brasileña no había sido la única víctima, ya que este mismo mensaje se había enviado de parte de varias organizaciones gubernamentales y sin fines lucrativos, lo que añadió notoriedad al contenido.
Consecuencias
No pinta bien que los criminales usen tus servidores para enviar ofertas fraudulentas: esto podría acabar con la reputación de tu empresa, sobre todo si los atacantes optan por distribuir malware.
Pero las consecuencias pueden ser aún peores, ya que normalmente las credenciales de registro de los correos electrónicos de los empleados suelen coincidir con la contraseña y nombre de usuario del dominio, por lo que el robo de estas credenciales podría suponer también el acceso a otros servicios corporativos.
Con el acceso al buzón de entrada de uno de los empleados, los cibercriminales podrían intentar lanzar un ataque dirigido contra los compañeros, socios o autoridades gubernamentales. Estos ataques son complicados, ya que requieren las últimas habilidades en ingeniería social para persuadir a la víctima y que ejecute todas las acciones necesarias, pero el daño que pueden causar es impredecible.
Este tipo de fraude está categorizado como una vulneración de los correos electrónicos corporativos (BEC, por sus siglas en inglés) y puede llegar a ser un verdadero dolor de cabeza para las empresas afectadas, pues el remitente falso intenta obtener los datos de la cuenta, los documentos financieros y demás información confidencial a través de la correspondencia. Además, detectar los mensajes BEC es muy complicado, ya que proceden de una dirección real y contienen encabezados legítimos y un contenido relevante.
Cómo proteger a tu empresa y a tus empleados
Para proteger la reputación de tu empresa y evitar que se envíe spam malicioso a su nombre, te aconsejamos que utilices una solución de protección de confianza que pueda rastrear los ataques phishing tanto en el servidor del correo electrónico, como en los equipos de los empleados. No hace falta decir que es de vital importancia actualizar periódicamente las bases de datos antispam heurísticas y los componentes antiphishing.