Artículo del blog
26 de enero de 2023 | 6 minutos de lectura

Desmenuzando el fraude cibernético de 5,5 millones de rands en ENSafrica: cómo ocurrió y cómo evitarlo

Comprenda los fallos de seguridad que condujeron a un incidente de Business Email Compromise y aprenda consejos para proteger su propia empresa de ataques similares.

El 16 de enero de 2023, el Tribunal Superior de Johannesburgo Sur dictaminó que ENSAfrica debía pagar daños y costas a Judith Hawarden -quien,

 

en proceso de compra de una casa, transfirió 5,5 millones de rands a la cuenta de un estafador que se hizo pasar por ENSAfrica.

Muchos artículos parecen tergiversar los hechos -incluso sugiriendo que la propia ENSAfrica fue pirateada-, pero una lectura atenta de la sentencia cuenta una historia diferente. Hemos leído la sentencia para tratar de desentrañar lo que realmente ocurrió. Puede consultar la sentencia aquí.

Aunque las cuestiones de responsabilidad jurídica son obviamente competencia del tribunal, pensamos que sería útil para el público comprender los diversos fallos de seguridad que se produjeron, de modo que las empresas y los particulares puedan protegerse mejor.

¿Qué ocurrió en realidad?

Aunque en la sentencia faltan muchos detalles técnicos, hay mucha información sobre los hechos. Sin entrar en demasiados detalles, estos son los hechos básicos:

  • Hawarden compró una propiedad a un vendedor que designó a ENSAfrica como agente de la propiedad inmobiliaria.
  • Durante la compra, Hawarden optó por pagar 5,5 millones de rands por la propiedad a través de EFT en la cuenta de ENS.
  • ENSAfrica facilitó a Hawarden sus datos bancarios a través de un PDF adjunto a un correo electrónico.
  • Este correo electrónico fue interceptado y alterado para reflejar la cuenta de los estafadores.
  • Hawarden, ignorante de la alteración, realizó el pago en esta cuenta.

Si queremos entender los fallos de seguridad, la cronología anterior plantea una pregunta importante: ¿cómo se interceptó el correo?

Aunque las pruebas de la propia sentencia son mínimas, parece que este ataque siguió un patrón muy familiar.

  1. Los atacantes obtienen acceso al buzón. Hay muchas formas de que esto ocurra, pero un escenario típico sería la filtración de tu nombre de usuario y contraseña (que utilizas en varios sitios) a una base de datos, que los atacantes pueden utilizar para acceder a tu cuenta.
  2. Una vez dentro, configuran una regla que reenvía tus correos a un buzón que ellos controlan (y borra esos reenvíos) o los reenvía a un canal RSS. Este método les permite mantenerse informados de tus comunicaciones, aunque ya no tengan acceso a tu buzón.
  3. Los atacantes pueden observar el buzón durante varios meses antes de actuar. Esperan a que se produzca una transacción importante (como con una entidad financiera o, en este caso, con un agente de la propiedad inmobiliaria). Una vez que saben con quién se está hablando, establecen una regla que autoelimina los correos de ese remitente. Como siguen recibiendo copias de los correos gracias al paso 2, esto les permite controlar qué información recibes.
  4. Secuestran la conversación. Esto suele implicar el envío de un correo falso del remitente. Este correo está configurado de tal manera que cuando pulses responder, tu respuesta será enviada a un buzón que ellos controlan.

Lo que es fundamental entender aquí, es que en ningún momento el atacante tiene ningún control sobre cualquier parte de la infraestructura que el remitente controla. Del mismo modo, en el caso de ENSAfrica, los atacantes no tenían control sobre su infraestructura.

Desde un punto de vista técnico, ¿por qué es culpable ENSAfrica?

La sentencia sugiere que ENSAfrica podría haber evitado este ataque de varias maneras y que, al no tomar estas medidas, no hizo su trabajo correctamente. En primer lugar, podrían haber informado no sólo a Hawarden, sino también a su personal, de los peligros de la ciberdelincuencia y, en particular, del Business Email Compromise. En segundo lugar, ENSAfrica podría haber empujado la transmisión de datos a un portal seguro (por ejemplo, su banco puede enviarle una comunicación importante a través de su aplicación - esta aplicación sería un portal seguro) y no utilizar el correo electrónico (dada su propensión al abuso por parte de actores de mala fe). Por último, podrían haber implementado tecnologías como DMARC para proteger a Hawarden contra la interceptación de este correo...

¿Qué puede hacer para proteger mejor su empresa?

Teniendo en cuenta esta información, he aquí algunos consejos sobre cómo proteger sus empresas:

  • Imparta formación de concienciación a su personal. Al educar a sus empleados sobre los peligros de la suplantación de identidad por correo electrónico y lo que deben tener en cuenta, las empresas pueden capacitar a su personal para reconocer e informar de cualquier cosa sospechosa.
  • Considere la posibilidad de trasladar las conversaciones confidenciales a un portal seguro. La comunicación por correo electrónico es una herramienta importante para las empresas, pero es una superficie de ataque fácil de explotar. Utilizar un canal seguro para comunicar información sensible puede ser útil. Hay muchas maneras de hacerlo bien, pero un enfoque común es utilizar un portal de clientes empresariales, por ejemplo, su aplicación bancaria.
  • Implemente DMARC (puede probar su protección actual aquí). DMARC verificará el origen de un mensaje de correo electrónico y decidirá qué hacer con él. Se trata de una comprobación de seguridad adicional para garantizar que sólo se entregan correos electrónicos legítimos. Además, he aquí algunas medidas prácticas que las empresas pueden aplicar para protegerse contra el correo electrónico comercial comprometido:
  • Implemente la autenticación de dos factores para todos los usuarios. La autenticación de dos factores añade una capa adicional de seguridad al proceso de inicio de sesión, protegiendo la cuenta incluso si la contraseña se ve comprometida.
  • Audite regularmente su entorno en busca de reglas sospechosas. Las reglas de buzón de correo electrónico suelen ser utilizadas por los usuarios para facilitar la gestión del correo electrónico. Sin embargo, las reglas que reenvían automáticamente todos los correos electrónicos a direcciones externas o eliminan automáticamente los mensajes deben analizarse con cuidado.
  • Audite regularmente su entorno en busca de inicios de sesión sospechosos. La mayoría de las plataformas de correo electrónico modernas permiten conocer la ubicación geográfica de las direcciones IP de los usuarios que inician sesión en sus sistemas. Esta información puede ser muy útil para identificar a posibles actores maliciosos; después de todo, si todos sus usuarios tienen su sede en Sudáfrica, por ejemplo, no debería ver inicios de sesión desde Irán, Estados Unidos o cualquier otra región.

¿Qué puede hacer usted para protegerse mejor?

Como es lógico, usted como particular puede beneficiarse de elegir un proveedor de correo electrónico que:

  • Tiene un buen filtrado del correo electrónico entrante. Pregunte a su proveedor de correo electrónico si realiza comprobaciones SPF, DKIM y DMARC de entrada.
  • Admite la autenticación de dos factores.

Por último, puedes presionar a tus proveedores para que tomen las medidas adecuadas. Pregunte por la formación de concienciación, presione por portales seguros y compruebe la puntuación DMARC de sus proveedores. Si es de 3/5 o menos, pueden ser suplantados.

¿Está en riesgo su dominio? Averigüe hasta qué punto su organización es susceptible de ser utilizada como arma de la ciberdelincuencia realizando la rápida evaluación en línea de Sendmarc.

Compruebe su dominio
Compartir
mail share
Conozca su puntuación

Todo el mundo corre el riesgo de ser víctima de estafadores por correo electrónico. Qué seguridad tiene su marca frente a los estafadores por correo electrónico?

El uso implica aceptación de la política de privacidad