4:15 p.m .: un mensaje urgente del CEO


¿Qué es el fraude del CEO, por qué es tan frecuente y cómo pueden las organizaciones reconocer y defenderse de estos ataques?

Un poco de juego de roles. Estás en la oficina, son las 4:15 p.m., y recibes un mensaje del vicepresidente de finanzas de tu empresa. Se requiere una transferencia urgente de fondos para finalizar un acuerdo con un socio importante, y la transferencia debe enviarse al closing del día. Como respondes

En este segundo artículo, como parte de Mes de Prevención de Fraude (# FPM2020) observamos un tipo de estafa muy específico, que está creciendo en popularidad a un ritmo alarmante: Estafas de CEO.

¿Qué es el fraude del CEO?

El fraude del CEO es una forma de ataque de spearphishing que se dirige a los miembros del equipo financiero o contable de la compañía. Mientras que en un ataque de tipo ballenero los delincuentes atacan a la alta gerencia, en el caso del fraude del CEO, intentan hacerse pasar por ejecutivos para convencer a los destinatarios del correo electrónico de que transfieran dinero rápidamente para una operación supuestamente crítica para la organización. Sin embargo, el dinero se transfiere a una cuenta bajo el management de ciberdelincuentes.

Mientras lees esto, puedes estar pensando que nunca caerías en ello. Después de todo, conoce bien a sus superiores y reconocería fácilmente sus direcciones de correo electrónico o números de teléfono. Sin embargo, el FBI estima que, entre 2016 y 2019, Business Electronic mail Compromise (BEC) generó pérdidas de US $ 26 mil millones.

La ciudad canadiense de Ottawa fue una de las víctimas en 2018. La tesorera de la ciudad, Marian Simulik, recibió un correo electrónico fraudulento y transferido más de CA $ 100,000 a estafadores. Unos días después, recibió otro correo electrónico fraudulento, pidiéndole que transfiriera otros CA $ 150,000. Afortunadamente, Simulik recibió el segundo correo electrónico mientras estaba en la misma habitación que el administrador de la ciudad Steve Kanellakos, a quien los estafadores estaban suplantando. Ella le preguntó si la solicitud era legítima, lo que hizo explotar la estafa.

Para convencer a sus objetivos, los estafadores usan varios esquemas. Como en muchas estafas, los delincuentes usan Ingeniería social. Evocan un sentido de urgencia en su objetivo para incitar al empleado a actuar rápidamente y haciendo un número mínimo de preguntas. Además, tomar la identidad de un ejecutivo para dirigirse a un empleado específico para una solicitud esencial y urgente puede generar un sentimiento de orgullo. ¿Quién quiere correr el riesgo de decepcionar a un ejecutivo que confía en nosotros?

Los delincuentes también trabajan río arriba para robar la identidad requerida. Encontrar los nombres de los altos ejecutivos de la compañía generalmente requiere solo una simple búsqueda en línea, probablemente en el propio sitio web de la compañía. El robo de nombres agrega credibilidad a su intento.

El siguiente paso consiste en imitar o falsificar la dirección de correo electrónico. El método fácil es crear una dirección de correo electrónico falsa que se parezca a la legítima. Por ejemplo, janet.brown.ceo@yourbusiness.com podría convertirse janet.brown.ceo@youbusiness.com (tenga en cuenta la «r» que falta en «su»). También pueden usar suplantación de correo electrónicoo suplantación de dirección de correo electrónico. En este caso, la dirección del remitente aparecerá en el mensaje como janet.brown.ceo@yourbusiness.com. En ambos casos, hacer clic en «Responder» enviaría el correo electrónico directamente al estafador, en lugar del destinatario legítimo (o el correo electrónico comparable).

Cómo proteger a tu organización

El primer paso que una organización puede tomar para protegerse de este tipo de fraude es un protocolo de transacciones financieras claro y sólido. Por ejemplo, exigir la aprobación de al menos dos personas autorizadas para cualquier transferencia puede ser parte de las reglas. También se pueden implementar reglas sobre los tipos de transferencias.

Como suele ser el caso con la prevención del fraude, entrenamiento de sensibilización y vigilancia son una vez más tus aliados. Dado que este tipo de fraude se dirige a departamentos corporativos específicos, se debe hacer especial hincapié en los miembros de estos equipos, particularmente con respecto a los protocolos establecidos y los medios para detectar estas estafas. Las medidas básicas para reconocer intentos de phishing seguir siendo igual de válido aquí no sucumbir a la presión y un sentido de urgencia, verificando cuidadosamente detalles como nombres, direcciones de origen y firmas.

Invitar a los empleados a no responder directamente a un correo electrónico sospechoso, sino a contactarlos directamente por teléfono, utilizando el número oficial, en lugar del que figura en la firma del mensaje, también puede evitar daños. En el ejemplo anterior, la Sra. Brown pudo confirmar en una llamada telefónica rápida de sus asociados que fue un intento de defraudar y no una solicitud de su parte.

Ya sean las 9:10 a.m. o las 4:15 p.m., no hay malos momentos para recordar a todo el equipo las medidas de prevención del fraude y no hay malos momentos para implementarlos. Como dice el refrán, «una onza de prevención vale una libra de cura».

Como continuación de nuestra serie especial del Mes de Prevención del Fraude, nuestros próximos dos artículos semanales se centrarán en una de las tácticas más populares utilizadas por los estafadores: la ingeniería social.

Mientras tanto, lo alentamos a leer nuestro entrevista con el evangelista jefe de seguridad de ESET, Tony Anscombe, quien habló sobre lo que las personas y las empresas pueden hacer para evitar ser víctimas de varios tipos de fraude en línea.








Enlace a la noticia original