La táctica del fraude del CEO, ha demostrado ser una herramienta lucrativa para los cibercriminales que buscan ganar dinero de las empresas. Los daños pueden ascender a varios millones. Esta estafa logra causar grandes daños financieros en el nivel corporativo y por esto creamos conciencia para que tu empresa tome las medidas necesarias para defenderse al máximo.
Fraude del CEO: pretender ser otra persona
Cuando llega un correo electrónico del CEO, la atención es alta y tendemos a responder lo antes posible porque queremos lucir bien. Es precisamente esta determinación por parte de los empleados que más y más cibercriminales están tratando de explotar a través de la técnica llamada fraude del CEO. El propósito de la estafa es convencer a un empleado de la empresa, responsable de las transacciones financieras, para transferir dinero. El “truco” es pretender que la orden llega de un gerente o director. Según un informe de la compañía de seguridad de TI KnowBe4, en junio del 2018, más de 22,000 empresas en todo el mundo fueron víctimas del fraude del CEO. El daño total ascendió a los tres mil millones de dólares.
Una estafa incluso para las PYMES
En los últimos años han habido muchos intentos de fraude del CEO que podrían tomarse como ejemplo. El hecho de que no solo las grandes empresas, sino también las PYMES pueden convertirse en el objetivo del fraude del CEO se ve confirmado por varios episodios. Un estudio realizado por PwC en Alemania (en febrero del 2018) mostró cómo el CEO de phishing llegó al 40% de las empresas entrevistadas y, entre ellas, en el 5% de los casos, el fraude del CEO tuvo éxito. El 21 de octubre del 2016, el contador de una PYME alemana recibió un correo electrónico de su presunto jefe. En el mensaje, el jefe le solicitó transferir 1,7 millones de euros a una cuenta en China para una adquisición de empresas. A pesar de las señales de peligro, como una dirección de correo electrónico diferente a la habitual, el contador no reconoció una posible amenaza en ella. La transacción fue aceptada por el banco sin dudarlo porque aparentemente todo estaba en orden. La compañía alemana perdió esos 1,7 millones de euros transferidos, a pesar de que también ha cuestionado a su banco.
Así es como funciona el fraude del CEO
Muchos se preguntan cómo todavía es posible que las personas continúen siendo víctimas de ataques de phishing como el fraude del CEO. La causa se encuentra en la excelente organización de los estafadores para explotar las faltas de atención y las debilidades humanas. Preparar una estafa del CEO es un trabajo exigente que requiere mucho estudio preliminar. La Oficina Federal Alemana para la Seguridad de la Información (BSI) ha analizado este tipo de ataques de phishing y ha dividido el trabajo preliminar de los delincuentes cibernéticos en cuatro fases:
Fase 1: selección de objetivos
Para empezar, los delincuentes cibernéticos estudian y determinan un posible objetivo para atacar. Para hacer esto, los estafadores crean una lista de víctimas potenciales a quienes dirigir el fraude del CEO y seleccionan los objetivos en función de la información de la compañía que han logrado obtener.
Fase 2: análisis de contexto
Una vez que se elige el objetivo, los delincuentes cibernéticos intentan obtener la mayor cantidad de información posible sobre la empresa y sus empleados. Intentan tener respuestas a preguntas como “¿Cuál es la estructura de la empresa?”, “¿Quiénes son los socios comerciales?” O “¿Quiénes son los contactos en la empresa?”. En la fase 2, se ajusta el perfil del ataque.
Fase 3: preparación del ataque
La tercera fase está totalmente dedicada a la preparación final del fraude del CEO. A menudo, los estafadores se ponen en contacto con la compañía en cuestión por teléfono para obtener la confirmación de la información ya obtenida. En algunos casos, antes del ataque real, incluso hay un intento de establecer una relación con la víctima. La definición del período y la suma que debe solicitarse son componentes importantes a la hora de planificar un ataque de este tipo. La fase 3 también es el momento en que se recopila información sobre el personal directivo, sobre su presencia o no en la empresa. Cuanta más información se obtenga, mayores las probabilidades de que el ataque sea exitoso.
Fase 4: el ataque
Con base en la información obtenida, cada detalle del fraude del CEO se planea. En un mensaje de correo electrónico que aparentemente proviene del gerente o director de la compañía, el destinatario se enfrentará a una tarea en la que se le exige que pague dinero en un corto período de tiempo, por ejemplo, para completar un negocio presunto en el extranjero. Las instrucciones contenidas en el correo electrónico, basadas en información previamente recopilada por los estafadores, evitan posibles sospechas.
Consejos para protegerse del fraude del CEO
Para protegerse activamente de la estafa del CEO, solo tome algunas precauciones y permanezca atento. Las posibles sugerencias son:- Las empresas deben proteger con mayor seguridad la información de sus empleados prestando, por ejemplo, más atención a lo que se revela sobre ellos.
- Es recomendable introducir regulaciones de ausencia y mecanismos de control interno.
- En el caso de órdenes de pago inusuales, es crucial verificar siempre el remitente del correo electrónico, verificar la solicitud de pago y comunicarse con el supervisor o la gerencia.
- Las empresas deben informar a sus empleados sobre el riesgo que conlleva el fraude del CEO y, en general, para mantener un alto nivel de conocimiento en el campo de la seguridad de TI (lea la seguridad informática integrada en la cultura corporativa).
- La firma digital es una posible herramienta de protección. Con un certificado S/MIME es posible firmar digitalmente los correos electrónicos y luego autenticar al destinatario.
Para protegerse activamente de la estafa del CEO, solo tome algunas precauciones y permanezca atento. Las posibles sugerencias son:En conclusión …
El principal consejo es, por supuesto, mantenerse alerta y comprobar en caso de duda. Como empresa, es importante hacer todo lo posible para difundir la cultura de la seguridad de la información entre los empleados para evitar posibles estafas.
