Hace poco una importante empresa brasileña contactó con nosotros para que les ayudáramos en la investigación de un incidente. Básicamente el problema era que los ciberdelincuentes habían comenzado a distribuir spam utilizando las direcciones de sus empleados. Es decir, no se hacían pasar por remitentes legítimos, como suele ser el caso, sino que enviaban directamente los mensajes a través del servidor de correo de la empresa. Tras una ardua investigación, pudimos dar con el procedimiento de los atacantes.
Estrategia de ataque
En primer lugar, los estafadores enviaron correos de phishing a los empleados para comunicarles que su buzón de entrada estaba a punto de bloquearse por una u otra razón e invitarles a acceder a un enlace para actualizar la información de su cuenta. Evidentemente, el enlace dirigía a un formulario de phishing que solicitaba las credenciales de registro del sistema.
Las víctimas rellenaron el formulario y concedieron a los estafadores el acceso total a sus cuentas de correo electrónico. Una vez conseguido el acceso, los estafadores comenzaron a enviar spam desde las cuentas comprometidas sin necesidad de alterar el contenido de los encabezados, puesto que ya eran legítimos. Es decir, el spam se enviaba desde servidores de confianza, de esta forma no levantaba las sospechas de los filtros de seguridad.
Tras conseguir el control de los buzones de entrada, los ciberdelincuentes siguieron con la siguiente oleada de correos electrónicos. Pero, en este caso los estafadores enviaron “spam nigeriano” en varios idiomas (aunque en teoría el spam podría ser de cualquier cosa, desde una oferta de medicamentos del mercado negro, hasta una infección con malware).
La investigación mostró que esta empresa brasileña no había sido la única víctima, ya que este mismo mensaje se había enviado de parte de varias organizaciones públicas y sin fines lucrativos, lo que añadió una mayor notoriedad al contenido.
Consecuencias
Utilizar tus servidores para enviar ofertas fraudulentas podría acabar con la reputación de tu empresa, sobre todo si los atacantes optan por distribuir malware.
Pero las consecuencias pueden ser aún peores, ya que normalmente las credenciales de registro de los correos electrónicos de los empleados suelen coincidir con la contraseña y nombre de usuario del dominio, por lo que el robo de estas credenciales podría suponer también el acceso a otros servicios corporativos.
Con el acceso al buzón de entrada de uno de los empleados, los ciberdelincuentes podrían intentar lanzar un ataque dirigido contra compañeros, socios o autoridades gubernamentales. Estos ataques son complicados, ya que requieren de habilidades de ingeniería social de primer nivel para persuadir a la víctima y que ejecute todas las acciones necesarias, pero el daño que pueden causar es impredecible.
Este tipo de fraude está clasificado como una vulneración de los correos electrónicos corporativos (BEC por sus siglas en inglés) y puede llegar a ser un verdadero quebradero de cabeza para las empresas afectadas, pues el remitente falso intenta obtener los datos de la cuenta, los documentos financieros y demás información confidencial a través de la correspondencia. Además, detectar los mensajes BEC es muy complicado, ya que proceden de una dirección real y contienen encabezados legítimos y un contenido relevante.
Cómo proteger tu empresa y a tus empleados
Para proteger la reputación de tu empresa y evitar el spam malicioso, te aconsejamos que utilices una solución de protección de confianza que pueda rastrear los ataques de phishing tanto en el servidor del correo electrónico como en los equipos de los empleados. Además, cabe destacar que es de vital importancia actualizar periódicamente las bases de datos antispam heurísticas y los componentes antiphishing.