“Se trata más de la aplicación de una defensa en profundidad en toda una organización a las prácticas comerciales, no solo a la seguridad de la red. Por ejemplo, si llega una solicitud por correo electrónico para cambiar la información de pago, ¿cuál es la respuesta del proceso empresarial? Chris Reffkin, CISO de Fortra, le dice al CSO. «Las prácticas estándar, como procesos definidos para solicitudes comerciales y jerarquías de aprobación establecidas, son una buena medida contra los BEC».
Idealmente, esas políticas deberían exigir que todos los pagos se remontan a una factura aprobada que incluya un nombre de beneficiario verificado, dirección e instrucciones de pago, recomienda Roger Grimes, evangelista de defensa de KnowBe4. «Cualquier solicitud de pago ad hoc debe someterse a una revisión formal antes de que se emita el pago», dice Grimes. «Exigir que todos los cambios en las instrucciones de pago se verifiquen mediante vías legítimas antes de ser aprobados».
Una política firme en este frente puede desinflar la sensación de urgencia y el miedo que los atacantes utilizan contra los empleados, haciéndose pasar por un ejecutivo o el jefe de alguien que solicita una solicitud anormal. “Una política puede ayudar a proteger a los empleados que la siguen. Por ejemplo, supongamos que un jefe envía un correo electrónico de emergencia desde casa indicándole a un empleado que pague una factura de emergencia. El empleado, señalando la política, puede responder que necesitaría seguir las políticas predefinidas apropiadas antes de pagar la factura. La política protege al empleado de sufrir daños simplemente por seguir la política”, dice Grimes.
Verificación fuera de banda para cambios y transacciones de alto riesgo
Para profundizar en las políticas de facturación y transacciones financieras, las empresas deben tener especial cuidado en cómo verifican y aprueban transacciones de alto riesgo y cambios en las cuentas financieras. «La implementación de procesos de verificación estrictos para las transacciones financieras y las solicitudes de datos es crucial», afirma Igor Volovich, vicepresidente de estrategia de cumplimiento de Qmulos. “Esto sirve como una defensa crítica contra los ataques BEC, asegurando una investigación exhaustiva de cada solicitud. Integrar estos procesos en las operaciones diarias crea un mecanismo de defensa sólido”.
Una de las mejores maneras en que pueden configurar un respaldo para BEC es asegurarse de que cualquier cosa de alto riesgo que se active por correo electrónico sea seguida a través de algún tipo de proceso de verificación fuera de banda. Esto podría ser una llamada telefónica, a través de un sistema seguro o un SMS.
“Ésta es una de las políticas más importantes. Nunca cambie los datos bancarios/de pago basándose únicamente en una solicitud por correo electrónico”, subraya Robin Pugh, director de inteligencia de Good y director ejecutivo de DarkTower. “Siempre que se solicita un cambio de información de pago o información bancaria por correo electrónico, debe existir una política que requiera que el destinatario siempre se comunique con el solicitante por voz, utilizando un método de contacto confiable. En otras palabras, llámelos al número de teléfono registrado y asegúrese de que hayan autorizado el cambio”. Pugh dice que agregar una política para un segundo aprobador a la jerarquía para transacciones de alto riesgo también puede reducir aún más el riesgo y reducir las amenazas internas en el proceso.
Los atacantes tienden a permanecer en una casilla de correo electrónico comprometida esperando algún tipo de actividad de pago que les dé la oportunidad de insertarse en el proceso, advierte Troy Gill, gerente senior de inteligencia de amenazas de OpenText Cybersecurity. Incluso si un contacto proporciona un documento legítimo por correo electrónico, debe complementarse con una verificación fuera de banda. “En muchos casos, toman un documento legítimo que ha sido enviado previamente y lo modifican ligeramente para incluir su cuenta (controlada por el atacante) y sus números de ruta. En este caso, el ataque parecerá casi idéntico a un documento de rutina de un contacto conocido, con la única diferencia de que los detalles de la cuenta han cambiado”, explica Gill. «Es fundamental que todos los cambios se confirmen fuera del hilo del correo electrónico».
Solicitar proceso de registro
Para algunas organizaciones, una política que solicite una llamada telefónica ad hoc fuera de banda puede no ser lo suficientemente estricta para reducir el riesgo de BEC. Una estrategia para llevar las políticas de verificación al siguiente nivel es establecer un ‘registro de solicitudes’ internamente seguro a través del cual se canalizará cada solicitud para intercambiar o cambiar información confidencial, explica Trevor Horwitz, CISO y fundador de TrustNet.
“La prevención de BEC requiere una estrategia amplia debido a la doble amenaza que se origina en el correo electrónico externo falsificado y en las fuentes internas de correo electrónico comprometido. Abogamos por una estrategia novedosa inspirada en la prevención del fraude con ‘pagos positivos’ en el sector de servicios financieros”, dice Horowitz, quien también fue presidente de InfraGard Atlanta, un capítulo de la asociación sin fines de lucro del FBI para el intercambio de información sobre delitos cibernéticos. “Esta política requiere un método secundario de verificación positiva para todos los intercambios y cambios de información confidencial, incluidos los beneficiarios, la información bancaria, las cuentas por cobrar y los datos de los empleados. La mecánica incluye un ‘registro de solicitudes’ internamente seguro, que garantiza una validación positiva antes de cualquier intercambio o modificación de información”.
A través de esta política y metodología, cada solicitud confidencial se registra en el sistema centralizado y luego se aprueba mediante un segundo factor, ya sea una llamada telefónica, un código de acceso de un solo uso (OTP) o una clave de seguridad de hardware como FIDO2. «Los usuarios están capacitados para verificar solicitudes confidenciales a través de este registro antes de divulgar información o realizar cambios», dice Horowitz a CSO.
Informes de puertas abiertas
Las organizaciones deben trabajar duro para desarrollar una política, una cultura y un conjunto de procesos que faciliten a los empleados informar incidentes de solicitudes que les parezcan desagradables, incluso si ya han cometido errores. «Es importante asegurarse de que los empleados no tengan miedo de denunciar un incidente o una acción cuestionable que hayan tomado», afirma Feaver. «Cuanto antes se informe algo, más fácil será abordarlo, pero es posible que los empleados asustados no quieran admitir errores».
La idea es establecer pasos y mecanismos documentados para informar y tratar de recompensar los errores frustrados más de lo que la organización castiga los errores. «Para obtener un incentivo adicional, sugiero un sistema de recompensas (un premio acumulado o tarjetas de regalo, por ejemplo) para aquellos que identifiquen y frustren con éxito los intentos de ataques BEC», dice Gill. «Esto ayudará a fomentar una mentalidad defensiva y una mentalidad de confianza cero y necesitan saber cómo hacerlo de forma segura».