Reglas Exchange online: Protección ante el «CEO Fraud».

Spoofing o la suplantación de identidad en castellano, son las técnicas mediante un atacante, generalemente de modo malicioso se hace pasar por una persona o entidad distinta falsificando algunos datos en los elementos de su comunicación.

En este post, me voy a centrar únicamente en en la suplantación llamada «CEO Fraud» (Fraude del CEO) y como poner un pequeño obstáculo creando una regla en la consola de Microsoft Exchange Online.

Según el articulo del BBVA ‘Fraude del CEO’: ¿qué es y cómo funciona? , indica que este tipo de fraude «se centra en suplantar a ejecutivos de alto nivel (también llamados C-level) y dar órdenes urgentes y confidenciales para realizar transacciones financieras fuera de los procesos habituales de la empresa.».

«se centra en suplantar a ejecutivos de alto nivel»

Fraude del CEO: ¿qué es y cómo funciona?

Según el tipo de empresa, es habitual tener en las páginas webs corporativas nombres y apellidos, teléfonos y correos electrónicos divididos por áreas o departamentos de los empleados para que los clientes sepan y puedan contactar de una forma directa con estos. Por lo tanto, los atacantes pueden identificar a sus víctimas mandándoles un correo electrónico personalizado y dirigido a cualquier empleado.

La mayoría de los artículos que hablan sobre este fraude, en sus apartados de ¿Cómo prevenir este fraude? inciden en lo mismo: que sea el usuario el que detecte si se trata de un correo electrónico de fraude. Por ejemplo, este artículo sacado de socialfuturo.com indica lo siguiente: «Siempre es conveniente detenerse 1 minuto y fijarse en los correos electrónicos fraudulentos para tratar de averiguar si estamos ante un correo totalmente generado por un automatismo (script) o si es verdaderamente un intento de suplantación de identidad realizado de manera manual y personal por alguien que te ha podido investigar.»

Pero, ¿DE VERDAD LOS USUARIOS TIENEN 1 MINUTO PARA FIJARSE EN ESTAS COSAS EN LOS CORREOS DE SU CEO O EJECUTIVOS DE ALTO NIVEL? Para eso estamos los administradores de sistemas, para intentar minimizar estos riesgos y poner medios para reducir este tipo de situaciones.

Una vez explicado en que consiste este tipo de suplantación, ¿cómo nos la intentan colar?

Resulta que cuando recibimos un correo electrónico, la parte del remitente tiene estos dos valores:

  • Nombre a mostrar del remitente: Normalmente, la gente pone su nombre y apellidos, para que cuando llegue un correo electrónico no aparezca por ejemplo juan_palomares@miempresa.es , sino «Juan Palomares Pérez».
  • Correo electrónico remitente: En este caso, aparece la cuenta real desde donde se ha recibido el correo electrónico, en el caso anterior seria juan_palorames@miempresa.es .
Ejemplo correo recibido en gmail

En la imagen anterior se puede ver donde consta el nombre del remitente (Display Name) y el correo desde donde se recibe el correo electrónico. Pero existen otros gestores de correo, como por ejemplo el Outlook Web Online (OWA) o Outlook en que en listado de correos, aparece únicamente el nombre a mostrar:

Aprovechándose de este tipo de vistas en los gestores de correo, donde únicamente aparece el nombre a mostrar, los atacantes utilizan cuentas de correo no corporativas (como por ejemplo cuentas aol.com) y en el nombre a mostrar el nombre de nuestro CEO o ejecutivos de alto nivel. Y si no abrimos el correo y nos fijamos como en la siguiente imagen, puede que no nos demos cuenta de que se trate de un correo verdadero o de fraude y habría picado el anzuelo la víctima.

Incluso, me he encontrado casos en los que en el nombre a mostrar, añaden el correo electrónico de la persona por la que intentan suplantar. Por ejemplo:
Nombre: Juan
Apellidos: Palomares Pérez <juan_palomares@miempresa.es>
De modo, que el nombre a mostrar sería Nombre + Apellidos, quedando de la siguiente forma Juan Palomares Pérez <juan_palomares@miempresa.es> y mandado desde la cuenta 99asdfa@aol.com.

Una vez ya os he puesto en situación, vamos manos a la obra.

El resultado es el siguiente: tenemos que impedir que nuestros usuarios reciban correos electrónicos con el nombre a mostrar de nuestro CEO o ejecutivos de alto nivel desde una cuenta de correo no corporativa en el que puedan dar órdenes urgentes y confidenciales para realizar transacciones financieras fuera de los procesos habituales de la empresa.

Utilizando el nombre anterior de Juan Palomares Pérez y por ejemplo de otra ejecutiva María Cifuentes Palacios, accedo al «Centro de Administración de Exchange Online», y dentro del apartado «flujo de correo» la opción de reglas.

Creo una regla nueva con los siguientes parámetros:

  • Nombre: El nombre de la regla que se elija.
  • Agregar las siguientes reglas en el apartado «Aplicar esta regla si»:
    • «El remitente está ubicado…» y en las opciones seleccionar «Fuera de la organización». De este modo, esta regla solo se aplicará para aquellos mensajes con dominio distintos a @miempresa.es.
    • «El destinatario está ubicado…» y en las opciones seleccionar «Dentro de la organización», para que también se aplique a los correos que se reciben en el dominio @miempresa.es
    • «Un encabezado de mensaje coincide con…» , seleccionar la opción «From» que es el nombre a mostrar del remitente y en el listado introducir, como en mi caso el nombre o combinaciones de nombres de nuestro CEO o altos ejecutivos: María Cifuentes Palacios, Juan Palomares Pérez (incluso poner María o Pérez sin los acentos)
  • En la parte de «Hacer lo siguiente», ya cada administrador puede configurar que hacer. En mi caso, tengo configurado lo siguiente:
    • «Generar informe de incidentes y enviarlo a…»: aquí selecciono que mande un correo electrónico a los responsables de redes de mi empresa y especifico que contenido quiero que me muestre.
    • «Entregar el mensaje a la cuarentena hospedada», de modo que nos aparezca en la consola de cuarentena de los administradores.
  • Excepciones.
    • Como ejemplo, voy a poner como excepción «La dirección del remitente incluye…» en el caso de que algún directivo también utilice su correo personal para comunicarse con algún empleado y este no sea bloqueado porque el nombre a mostrar en la regla anterior.

Fuentes


Si te ha parecido interesante mi artículo, haz clic en el siguiente botón y podrás dar soporte a mí blog invitándome a una cerveza Turia. Gracias!

Artículos que quizá te interesen:

¡Hola, mundo! 

Bienvenido a WordPress. Esta es tu primera entrada. Edítala o bórrala, ¡luego empieza a escribir!   Un gran poder conlleva una gran responsabilidadSpiderman Pues a ello voy, como dicen en la película de Spiderman: «Un gran poder conlleva una gran responsabilidad«. Los ingenieros, y sobre todo los informáticos, parece que debemos saber solucionar problemas con […]

¿Tengo pública alguna contraseña? 

En mayo de 2020 apareció una noticia de la famosa APP de americana de entrega de comida y kit de alimentos donde se habían expuesto 8 millones de contraseñas de usuarios. ¿Qué pasaría si utilizara esta app con mi correo y mi contraseña habitual? Muy fácil, mi contraseña genérica para Gmail, Hotmail, Facebook, DropBox, OneDrive… […]

USB Bluetooth 4.0 CSR no funciona con Windows 10 

Me compre hace tiempo un adaptador USB Bluetooth TP-Link UB400 Nano y tras una actualización de Windows 10 dejó de funcionar. Aquí podéis ver las características de este producto: TP-Link UB400 Nano – Adaptador Bluetooth 4.0 USB Dongle para ordenador, portatil, auriculares, altavoz, teclado, compatible con Windows 10, 8, 8.1,7, XP, Vista Memoria del ordenador: […]