Reglas Exchange online: Protección ante el «CEO Fraud».

ceofraud

Nota: Si este artículo te parece interesante y/o te ayuda a resolver un problema que estabas intentado solucionar, puedes invitarme a un café haciendo clic aquí

Spoofing o la suplantación de identidad en castellano, son las técnicas mediante un atacante, generalemente de modo malicioso se hace pasar por una persona o entidad distinta falsificando algunos datos en los elementos de su comunicación.

En este post, me voy a centrar únicamente en en la suplantación llamada «CEO Fraud» (Fraude del CEO) y como poner un pequeño obstáculo creando una regla en la consola de Microsoft Exchange Online.

Según el articulo del BBVA ‘Fraude del CEO’: ¿qué es y cómo funciona? , indica que este tipo de fraude «se centra en suplantar a ejecutivos de alto nivel (también llamados C-level) y dar órdenes urgentes y confidenciales para realizar transacciones financieras fuera de los procesos habituales de la empresa.».

«se centra en suplantar a ejecutivos de alto nivel»

Fraude del CEO: ¿qué es y cómo funciona?

Según el tipo de empresa, es habitual tener en las páginas webs corporativas nombres y apellidos, teléfonos y correos electrónicos divididos por áreas o departamentos de los empleados para que los clientes sepan y puedan contactar de una forma directa con estos. Por lo tanto, los atacantes pueden identificar a sus víctimas mandándoles un correo electrónico personalizado y dirigido a cualquier empleado.

La mayoría de los artículos que hablan sobre este fraude, en sus apartados de ¿Cómo prevenir este fraude? inciden en lo mismo: que sea el usuario el que detecte si se trata de un correo electrónico de fraude. Por ejemplo, este artículo sacado de socialfuturo.com indica lo siguiente: «Siempre es conveniente detenerse 1 minuto y fijarse en los correos electrónicos fraudulentos para tratar de averiguar si estamos ante un correo totalmente generado por un automatismo (script) o si es verdaderamente un intento de suplantación de identidad realizado de manera manual y personal por alguien que te ha podido investigar.»

Pero, ¿DE VERDAD LOS USUARIOS TIENEN 1 MINUTO PARA FIJARSE EN ESTAS COSAS EN LOS CORREOS DE SU CEO O EJECUTIVOS DE ALTO NIVEL? Para eso estamos los administradores de sistemas, para intentar minimizar estos riesgos y poner medios para reducir este tipo de situaciones.

Una vez explicado en que consiste este tipo de suplantación, ¿cómo nos la intentan colar?

Resulta que cuando recibimos un correo electrónico, la parte del remitente tiene estos dos valores:

  • Nombre a mostrar del remitente: Normalmente, la gente pone su nombre y apellidos, para que cuando llegue un correo electrónico no aparezca por ejemplo juan_palomares@miempresa.es , sino «Juan Palomares Pérez».
  • Correo electrónico remitente: En este caso, aparece la cuenta real desde donde se ha recibido el correo electrónico, en el caso anterior seria juan_palorames@miempresa.es .
Ejemplo correo recibido en gmail

En la imagen anterior se puede ver donde consta el nombre del remitente (Display Name) y el correo desde donde se recibe el correo electrónico. Pero existen otros gestores de correo, como por ejemplo el Outlook Web Online (OWA) o Outlook en que en listado de correos, aparece únicamente el nombre a mostrar:

Aprovechándose de este tipo de vistas en los gestores de correo, donde únicamente aparece el nombre a mostrar, los atacantes utilizan cuentas de correo no corporativas (como por ejemplo cuentas aol.com) y en el nombre a mostrar el nombre de nuestro CEO o ejecutivos de alto nivel. Y si no abrimos el correo y nos fijamos como en la siguiente imagen, puede que no nos demos cuenta de que se trate de un correo verdadero o de fraude y habría picado el anzuelo la víctima.

Incluso, me he encontrado casos en los que en el nombre a mostrar, añaden el correo electrónico de la persona por la que intentan suplantar. Por ejemplo:
Nombre: Juan
Apellidos: Palomares Pérez <juan_palomares@miempresa.es>
De modo, que el nombre a mostrar sería Nombre + Apellidos, quedando de la siguiente forma Juan Palomares Pérez <juan_palomares@miempresa.es> y mandado desde la cuenta 99asdfa@aol.com.

Una vez ya os he puesto en situación, vamos manos a la obra.

El resultado es el siguiente: tenemos que impedir que nuestros usuarios reciban correos electrónicos con el nombre a mostrar de nuestro CEO o ejecutivos de alto nivel desde una cuenta de correo no corporativa en el que puedan dar órdenes urgentes y confidenciales para realizar transacciones financieras fuera de los procesos habituales de la empresa.

Utilizando el nombre anterior de Juan Palomares Pérez y por ejemplo de otra ejecutiva María Cifuentes Palacios, accedo al «Centro de Administración de Exchange Online», y dentro del apartado «flujo de correo» la opción de reglas.

Creo una regla nueva con los siguientes parámetros:

  • Nombre: El nombre de la regla que se elija.
  • Agregar las siguientes reglas en el apartado «Aplicar esta regla si»:
    • «El remitente está ubicado…» y en las opciones seleccionar «Fuera de la organización». De este modo, esta regla solo se aplicará para aquellos mensajes con dominio distintos a @miempresa.es.
    • «El destinatario está ubicado…» y en las opciones seleccionar «Dentro de la organización», para que también se aplique a los correos que se reciben en el dominio @miempresa.es
    • «Un encabezado de mensaje coincide con…» , seleccionar la opción «From» que es el nombre a mostrar del remitente y en el listado introducir, como en mi caso el nombre o combinaciones de nombres de nuestro CEO o altos ejecutivos: María Cifuentes Palacios, Juan Palomares Pérez (incluso poner María o Pérez sin los acentos)
  • En la parte de «Hacer lo siguiente», ya cada administrador puede configurar que hacer. En mi caso, tengo configurado lo siguiente:
    • «Generar informe de incidentes y enviarlo a…»: aquí selecciono que mande un correo electrónico a los responsables de redes de mi empresa y especifico que contenido quiero que me muestre.
    • «Entregar el mensaje a la cuarentena hospedada», de modo que nos aparezca en la consola de cuarentena de los administradores.
  • Excepciones.
    • Como ejemplo, voy a poner como excepción «La dirección del remitente incluye…» en el caso de que algún directivo también utilice su correo personal para comunicarse con algún empleado y este no sea bloqueado porque el nombre a mostrar en la regla anterior.

Fuentes

Nota: Si este artículo te parece interesante y/o te ayuda a resolver un problema que estabas intentado solucionar, puedes invitarme a un café haciendo clic aquí

Javier Ripoll Esteve

Una respuesta a “Reglas Exchange online: Protección ante el «CEO Fraud».”

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Últimos posts

¿Qué secretos oculta el fichero carta_renuncia.pdf del ya expresidente de la RFEF Luís Rubiales?
seguridad

¿Qué secretos oculta el fichero carta_renuncia.pdf del ya expresidente de la RFEF Luís Rubiales?

Sep 16, 2023

El mundo del fútbol y la tecnología se han unido de manera sorprendente en los últimos días y años (recordar…

Por qué OneDrive, Dropbox, Drive y similares no son una copia de seguridad. Simplemente es tener un duplicado.

Por qué OneDrive, Dropbox, Drive y similares no son una copia de seguridad. Simplemente es tener un duplicado.

Jul 21, 2023
¿Sabías que escribir «escrito desde mi móvil, disculpen las faltas de ortografía» puede perjudicar tu reputación?

¿Sabías que escribir «escrito desde mi móvil, disculpen las faltas de ortografía» puede perjudicar tu reputación?

Jul 16, 2023
Como redactar el mejor mensaje automático para vacaciones

Como redactar el mejor mensaje automático para vacaciones

Jul 3, 2023