Estafas al CEO en O365. Casos prácticos
Tiempo de lectura estimado: 10 minutos
Esta conferencia magistral pertenece al Módulo 8 “Estafas en la red. Medios de pago” de C1b3rWall Academy 2021/2022. El objetivo de la misma es detectar una estafa de criptomonedas y no caer en ella.
Una estafa CEO es un ataque de ingeniería social con el objetivo de convencer a la víctima de que realice una transferencia de dinero a una cuenta de los atacantes. Mal llamado “al CEO”, en realidad se ataca al personal que controla el dinero. Hay dos tipos de estafas:
- Estafa A: son “a ciegas”. En lugar de cliente.es el origen es clIente.es. Tienen poca tasa de éxito pero el esfuerzo es mínimo.
- Estafa B: los atacantes logran hacerse con el correo de uno de los externos. Leen los correos intercambiados por ambas partes y aprenden la operativa para mover el dinero.
Cuando detectan una transferencia en un correo, modifican el número de cuenta a una bajo su control. Solicitan directamente la transferencia desde el correo del cliente con la nueva cuenta. Suelen usar documentos viejos sacados del correo para falsificar firmas y sellos, y monitorizan en el correo para borrar mensajes o incluso responder a la otra parte.
Una vez reciben el dinero, lo mueve en otras cuentas y lo blanquean. Si la entidad bancaria no detecta nada raro el dinero está perdido. Esto da lugar a problemas legales como facturas pagadas pero mercancías no entregadas y viceversa. Los más profesionales suelen complementarlo con llamadas telefónicas o incluso deepfakes.
Office 365
Se trata de un servicio de Microsoft en la nube que nos proporciona correo, Office, Teams OneDrive… Muy usado por pymes por su sencillez, funcionalidades y puesta en marcha. Tiene diferentes planes con muchas opciones y funcionalidades de seguridad pero estas están en los planes superiores que son más caros.
Caso práctico 1
El banco avisa de unas “transferencias sospechosas” de 49000 € solicitadas por correo por el CFO a unas nuevas cuentas que no le suenan al director de la sucursal y este las para. Es sospechoso ya que a partir de 50.000 se requiere una comprobación especial.
Está deshabilitada la cuenta de Office 365 del CFO y nos llama urgentemente. El CFO admite haber “abierto un adjunto y descargado algunas cosas”. Se establecen dos vías de investigación, una en el ordenador del CFO y otra en Office 365.
Se obtienen evidencias a partir de Hawk, UAL, emails y CyLR en el PC del CFO con privilegios de la empresa. En un primer momento no se obtiene nada.
Con UAL se detectan los inicios de sesión de correo y la IP y se encuentra que el primer inicio de sesión lo hicieron el 12 de mayo y el ataque se lanzó el 14, estuvieron dos días leyendo correos.
Los atacantes lo primero que hicieron fue crear una nueva regla de correo, qué hace que todos los mensajes que vengan del dominio @bnpparibas.com sean marcados como leídos y archivados.
A las 10:30h se manda un correo con asunto “Transferencia XXX” a 3 personas del banco. A las 11:30h se manda un correo de phishing a toda la agenda del CFO. IT os manda otro correo de phishing a la semana siguiente con formato similar al anterior.
Es decir, el CFO había picado en el phishing. Se envió a las 12:20h y el primer inicio de sesión malicioso fue a las 12:29h.
La lección que se extrae es que hay que hablar siempre que puedas con el usuario y obtener toda la información lo más clara posible. El incidente cerró sin impacto para la empresa, se recomienda 2FA para todas las cuentas de usuario y E5 y antiphishing avanzado para las cuentas más críticas. El CFO fue enviado de nuevo a un curso de concienciación en ciberseguridad.
Caso práctico 2
El 6 de abril una comercial envía una factura por 100.000 € y minutos después envía otra con la cuenta bancaria cambiada. Por suerte otra comercial está en copia y se da cuenta y alerta del cambio. Se llama al banco y le piden que congele todas las transferencias hasta nueva orden y se deshabilita la cuenta de la usuaria, pero la investigación interna no encuentra nada.
El 13 de abril se envía otra factura de 100.000 € desde la cuenta de un comercial pero ésta lleva un PDF firmado y con sello ( y con otra cuenta bancaria). IT deshabilita todas las cuentas de los comerciales y el CEO nos llama.
IT nos dice que los usuarios no abrieron nada raro y están bien enseñados, la gestión de O365 la lleva un tercero que parece hostil hacia nosotros, ya que también tienen área de ciberseguridad. La adquisición de evidencias es complicada y el tercero no quiere darnos acceso, y la IT de la empresa no sabe mucho de O365.
Como queremos abarcar un periodo temporal largo la exportación es grande y se cuelga. Terminamos haciendo una llamada de Teams con IT, tomando el control y exportando los datos desde su sesión. Solo tenemos UAL y MessageTrace (nada de HaWK) y muchos datos poco estructurados.
Buscamos inicios de sesión anómalos y todas las IP de origen, y el 5 de abril detectamos un ataque de fuerza bruta masivo contra varias cuentas de la empresa. Encontramos dos IPs fuera de España iniciadas fuera del horario de trabajo. Encontramos inicios de sesión en las cuentas ITadmin y sysadmin, ambas administradores globales de la empresa.
Sysadmin es la cuenta principal de la contrata e ITadmin la creó la contrata para ellos. Al hacerlo, le enviaron la contraseña por correo. Examinamos correos del MessageTrace y comprobamos que ya han mandado otras 4 facturas falsas desde cuentas del equipo comercial.
Investigando, llegamos a la opción de O365 de “impersonación”, dar permiso a alguien para que tenga acceso a tu buzón. Los atacantes con acceso a ITadmin se dieron acceso de lectura y escritura en las cuentas de todos los usuarios. Se cambiaron todas las contraseñas y se habilitó 2FA.
Como consejos para el futuro, hay que obtener la información de forma clara y obtener todas las evidencias posibles (HaWK). Hay que tener cuidado con los periodos de retención y comenzar a investigar por los inicios de sesión anómalos, seguir con reglas de correo, permisos inapropiados, MessageTracer...
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Antonio Sanz
Es analista senior de ciberseguridad en S2 Grupo
¿Cuál es tu reacción?