Las reglas automatizadas de la bandeja de entrada de correo electrónico son una característica útil y familiar de la mayoría de los programas de correo electrónico. Le ayudan a administrar su bandeja de entrada y la avalancha diaria de mensajes deseados y no deseados al permitirle mover correos electrónicos a carpetas específicas, reenviarlos a sus colegas cuando no esté o eliminarlos automáticamente.
Sin embargo, una vez que una cuenta ha sido comprometida, los atacantes pueden abusar de las reglas de la bandeja de entrada para disfrazar futuros ataques, por ejemplo, extrayendo secretamente información de la red mediante reenvío, asegurándose de que la víctima no vea advertencias de seguridad y eliminando ciertos mensajes.
El correo electrónico como principal vector de ataque
Aunque la seguridad del correo electrónico ha evolucionado y el uso del aprendizaje automático ha facilitado la detección de creaciones sospechosas de reglas en la bandeja de entrada, los atacantes siguen utilizando esta técnica con éxito. Dado que esto requiere una cuenta comprometida, las cifras generales de esta amenaza probablemente sean bajas, pero aún representa una amenaza grave para la integridad de los datos y activos de una organización, sobre todo porque la creación de reglas por parte de un atacante es una técnica en la que se produce el compromiso, lo que significa que ya está en la red y se requieren contramedidas inmediatas.
Los ataques basados en correo electrónico tienen una alta tasa de éxito y son un punto de entrada común para muchos otros ciberataques. La investigación de Barracuda encontró que el 75 por ciento de las empresas encuestadas en todo el mundo experimentaron al menos una violación de la seguridad del correo electrónico en 2022. Estos ataques van desde simples ataques de phishing y enlaces o archivos adjuntos maliciosos hasta sofisticadas técnicas de ingeniería social como Business Email Compromise (BEC), secuestro de conversaciones y apropiación de cuentas. Algunos de los tipos más avanzados están asociados con reglas de correo electrónico maliciosas.
Reglas de correo electrónico automatizadas
Para crear reglas de correo electrónico maliciosas, los atacantes deben haber comprometido una cuenta objetivo, por ejemplo, mediante un correo electrónico de phishing exitoso o utilizando credenciales robadas obtenidas en una infracción anterior. Una vez que el atacante obtiene el control de la cuenta de correo electrónico de la víctima, puede configurar una o más reglas de correo electrónico automatizadas.
Los atacantes pueden establecer una regla para reenviar todos los correos electrónicos con palabras clave sensibles y potencialmente lucrativas como "pago", "factura" o "confidencial" a una dirección externa. Además, también pueden abusar de las reglas de correo electrónico para ocultar ciertos correos electrónicos entrantes moviendo estos mensajes a carpetas que rara vez se utilizan, marcando correos electrónicos como leídos o simplemente eliminándolos. Por ejemplo, para ocultar alertas de seguridad, mensajes de comando y control o respuestas a correos electrónicos internos de phishing enviados desde la cuenta comprometida, o para ocultar sus rastros al propietario de la cuenta, que probablemente use la cuenta utilizada al mismo tiempo. sin saber de los intrusos. Además, los atacantes también pueden abusar de las reglas de reenvío de correo electrónico para monitorear las actividades de una víctima y recopilar información sobre la víctima o la organización de la víctima para usarla en futuros ataques u operaciones.
Ataques BEC (Business Email Compromise)
En los ataques BEC, los ciberdelincuentes intentan convencer a sus víctimas de que un correo electrónico proviene de un usuario legítimo para defraudar a la empresa y a sus empleados, clientes o socios. Por ejemplo, los atacantes pueden configurar una regla que elimine todos los correos electrónicos entrantes de un empleado o gerente específico, como el director financiero (CFO). Esto permite a los delincuentes hacerse pasar por un director financiero y enviar correos electrónicos falsos a los empleados para convencerlos de transferir fondos de la empresa a una cuenta bancaria controlada por los atacantes.
En noviembre de 2020, el FBI publicó un informe sobre cómo los ciberdelincuentes están aprovechando la falta de sincronización y visibilidad de seguridad entre los clientes de correo electrónico de escritorio y basados en la web para establecer reglas de enrutamiento de correo electrónico, lo que aumenta la probabilidad de un ataque BEC exitoso.
Ataques por correo electrónico a estados-nación
Las reglas de correo electrónico malicioso también se utilizan en ataques dirigidos a estados-nación. El marco de tácticas y técnicas adversarias MITRE ATT&CK® nombra tres APT (grupos de amenazas persistentes avanzadas) que utilizan la técnica de reenvío de correo electrónico malicioso (T1114.003). Se trata de Kimsuky, un grupo de amenazas de ciberespionaje de un Estado-nación, LAPSUS$, conocido por sus ataques de extorsión y perturbación, y Silent Librarian, otro grupo de un Estado-nación vinculado al robo de propiedad intelectual y de investigación.
MITRE clasifica las reglas de ocultación de correo electrónico (T1564.008) como una técnica utilizada para eludir las defensas de seguridad. Una APT conocida por utilizar esta técnica es FIN4, un actor de amenazas con motivación financiera que crea reglas en las cuentas de las víctimas para eliminar automáticamente los correos electrónicos que contienen palabras como "pirateado", "phish" y "malware", que probablemente impidan el acceso de TI de la víctima. equipo informe a los empleados y a otras personas sobre sus actividades.
Medidas de seguridad ineficaces
Si no se detecta una regla maliciosa, permanecerá vigente incluso si se cambia la contraseña de la víctima, se habilita la autenticación multifactor, se implementan otras políticas estrictas de acceso condicional o se reconstruye completamente la computadora. Mientras la norma siga vigente, seguirá siendo eficaz.
Si bien las reglas de correo electrónico sospechosas pueden ser una buena indicación de un ataque, observar estas reglas de forma aislada no es una señal suficiente de que una cuenta haya sido comprometida. Por lo tanto, las defensas deben utilizar múltiples señales para reducir la información irrelevante y alertar al equipo de seguridad sobre un probable ataque de correo electrónico exitoso. La naturaleza dinámica y evolutiva de los ciberataques, incluido el uso de tácticas sofisticadas por parte de los atacantes, requiere un enfoque de múltiples niveles para la detección y la respuesta.
Medidas de defensa efectivas
Dado que la creación de reglas para la bandeja de entrada es una técnica posterior al compromiso, la protección más efectiva es la prevención, es decir, evitar que los atacantes se apropien de la cuenta en primer lugar. Sin embargo, las organizaciones también necesitan medidas eficaces de detección y respuesta a incidentes para identificar cuentas comprometidas y mitigar el impacto de estos ataques. Esto incluye visibilidad completa de todas las acciones realizadas en la bandeja de entrada de cada empleado y qué reglas se crean, qué se modificó o se accedió, el historial de inicio de sesión del usuario, la hora, la ubicación y el contexto de los correos electrónicos enviados, y mucho más. Las soluciones avanzadas de seguridad del correo electrónico basadas en IA utilizan estos datos para crear un perfil de cuenta inteligente para cada usuario, señalando instantáneamente cualquier anomalía, por pequeña que sea. La protección contra el robo de identidad también utiliza múltiples señales, como credenciales de inicio de sesión, datos de correo electrónico y modelos estadísticos, junto con reglas para detectar un ataque de apropiación de cuentas.
Finalmente, la detección y respuesta extendidas (XDR) y el monitoreo las 24 horas del día, los 7 días de la semana por parte de un centro de operaciones de seguridad (SOC) pueden ayudar a garantizar que incluso las actividades profundamente ocultas y ofuscadas sean detectadas y neutralizadas. Abusar de las reglas de la bandeja de entrada es una de las tácticas más pérfidas utilizadas por los ciberdelincuentes. Sin embargo, con las medidas anteriores, las empresas pueden defenderse adecuadamente contra esta amenaza para proteger sus datos y activos sensibles.
Más en Barracuda.com
Acerca de Barracuda Networks Barracuda se esfuerza por hacer del mundo un lugar más seguro y cree que todas las empresas deben tener acceso a soluciones de seguridad para toda la empresa habilitadas para la nube que sean fáciles de comprar, implementar y usar. Barracuda protege el correo electrónico, las redes, los datos y las aplicaciones con soluciones innovadoras que crecen y se adaptan a lo largo del viaje del cliente. Más de 150.000 XNUMX empresas en todo el mundo confían en Barracuda para poder concentrarse en hacer crecer su negocio. Para obtener más información, visite www.barracuda.com.