jueves, 18 de abril de 2024

Antes-durante-después de un Fraude al correo: Acciones concretas

 Estimados amigos de Inseguros !!!

A día de hoy hablar del BEC ( Business Email Compromise) o timo del CEO, o el timo del cambio de factura no es nada nuevo. Tampoco es nuevo que a pesar de que lo sabemos, NUESTROS usuarios caen. Hay medidas técnicas, medidas organizativas, hay todo tipo de medidas a implementar para minimizar la posibilidad, o a las malas, el impacto.

Guarda este recomendación, para que cuando te pase, o cuando te llame el "amigo" que te cuenta que en la empresa del hijo han robado nosecuantosmiles de euros... puedas ayudar.


Durante 

 • Restablecer la contraseña del usuario o usuarios implicados 
• Desactivar reglas del buzón de entrada que han sufrido el compromiso 
• Eliminar direcciones de reenvío de correo electrónico 
• Cerrar todas las sesiones de Office 365 para las cuentas de la empresa 
• Restablecimiento de contraseña empresarial, en caso de no tener focalizado el vector. 

Detectar 

• Regla de bandeja de entrada creada para reenviar correos electrónicos a carpetas de RSS, suscripciones, correo no deseado o notas 
• Regla de bandeja de entrada creada para eliminar automáticamente correos electrónicos 
• Regla de bandeja de entrada para redirigir mensajes a una dirección de correo electrónico externa 
• Reglas de bandeja de entrada con palabras clave sospechosas (por ejemplo: virus, wetransfer, factura, banco,etc) 
• Nuevo reenvío de buzón de correo a una dirección externa 
• Nuevos delegados de buzón de correo 
• Inicios de sesión exitosos desde códigos de país atípicos utilizando datos geo-IP 
• Inicios de sesión exitosos desde servicios proxy de anomimato 
• Inicios de sesión exitosos precedidos por inicios de sesión fallidos debido a políticas de acceso condicional 

Responder
 
• ¿Qué dirección IP se registró durante el inicio de sesión? 
• ¿La dirección IP inició sesión en otras cuentas? 
• ¿El atacante creó alguna regla de bandeja de entrada? 
• ¿El atacante habilitó el reenvío de correo electrónico externo? 
• ¿Cuándo obtuvo acceso el atacante a las cuentas? 
• ¿El atacante agregó algún delegado? 
• ¿El atacante accedió a algún archivo? 

Después 

• Habilitar auditoría de buzones de correo en Office 365 
• Integrar Office 365 con SIEM 
• Implementar políticas de acceso condicional 
• Desactivar el reenvío automático en Office 365 
• Habilitar MFA 
• Formación al usuario

Si tienes más ideas, no dudes en escribirme y mejoras el documento.

Y aquí la publicidad.

Has hecho ya el mejor curso de Hacking Azure del mercado? xDDD

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.