Según Kaspersky, se trata de un esquema en el que los atacantes se insertan en una conversación de correo electrónico comercial y se hacen pasar por uno de los participantes.
Para meterse en una conversación de correo electrónico privada, los ciberdelincuentes necesitan obtener acceso a una bandeja de entrada o, al menos, al archivo de mensajes. Hay varios trucos que pueden utilizar para lograr esto.
El método más obvio es hackear la bandeja de entrada. Para los servicios en la nube, usar la fuerza bruta para averiguar la contraseña es el método elegido: los atacantes buscan contraseñas asociadas con una dirección de correo electrónico en particular en filtraciones de servicios en línea, y luego las prueban en cuentas de correo electrónico de trabajo. Es por eso que es importante, en primer lugar, no usar las mismas credenciales para diferentes servicios, y en segundo lugar, no proporcionar una dirección de correo electrónico de trabajo al registrarse en sitios no relacionados con el trabajo. Un método alternativo es acceder al correo electrónico a través de vulnerabilidades en el software del servidor.
Los ciberdelincuentes rara vez mantienen el control de una dirección de correo electrónico de trabajo durante mucho tiempo, pero suelen tener tiempo suficiente para descargar el archivo de mensajes. A veces crean reglas de reenvío en la configuración para recibir el correo electrónico que llega al buzón en tiempo real. Así, sólo pueden leer mensajes y no enviar ninguno. Si pudieran enviar mensajes, lo más probable es que intentaran realizar un ataque BEC (Business Email Compromise).
Otra opción es el malware. Recientemente, se descubrió una campaña masiva de secuestro de conversaciones destinada a infectar ordenadores mediante el troyano QBot. Lo más probable es que los correos electrónicos en los que los ciberdelincuentes plantaron su carga maliciosa procedieran de víctimas anteriores de ese mismo malware QBot (que puede acceder a archivos de mensajes locales).
Pero los operarios de malware no se dedican necesariamente al secuestro de conversaciones: a veces, los archivos de mensajes se venden en la dark web y son utilizados por otros estafadores.
¿Cómo funciona el secuestro de conversaciones?
Los ciberdelincuentes rastrean los archivos de mensajes en busca de correos electrónicos entre varias empresas (socios, contratistas, proveedores, etc.). Las fechas no importan: los estafadores pueden retomar conversaciones de hace años. Tras encontrar un intercambio de correos electrónicos adecuados, escriben a una de las partes implicadas haciéndose pasar por otra. El objetivo es embaucar a la persona que está al otro lado para que haga algo requerido por los atacantes. Antes de ponerse manos a la obra, a veces intercambian algunos mensajes sólo para bajar la guardia del otro.
Dado que el secuestro de conversaciones es un ataque dirigido, a menudo utiliza un dominio de apariencia similar, es decir, un dominio visualmente muy parecido al de uno de los participantes, pero con algún pequeño desajuste, por ejemplo, un dominio de nivel superior diferente, una letra de más o un símbolo sustituido por otro de aspecto similar.
Correo electrónico de los atacantes: en el nombre de dominio aparece la letra “n” en lugar de la “m”.
¿Para qué se utiliza el secuestro de conversaciones?
Los objetivos del secuestro de conversaciones suelen ser bastante simples: obtener acceso a algún recurso mediante el robo de credenciales de inicio de sesión; embaucar a la víctima para que envíe dinero a la cuenta de los atacantes; o conseguir que la víctima abra un archivo adjunto malicioso o siga un enlace a un sitio infectado.
¿Cómo protegerse del secuestro de conversaciones?
La principal amenaza que plantea el secuestro de conversaciones es que los correos electrónicos de este tipo son bastante difíciles de detectar por medios automatizados. Para reducir los riesgos, se recomienda:
Proteger los dispositivos de los empleados para dificultar el robo de archivos de mensajes desde ellos.
Utilizar contraseñas únicas para las cuentas de correo electrónico del trabajo.
Reducir al mínimo el número de servicios externos registrados en las direcciones de correo electrónico del trabajo.
No sólo cambiar la contraseña después de un incidente de correo electrónico, sino también comprobar si han aparecido reglas de reenvío no deseadas en la configuración.
Contáctanos para solicitar más información del servicio que ofrecemos.
Comments