¡Peligro! 🔴🔴🔴🔴⚫ (4 – Alto)
Cualquier profesional de una compañía, en especial aquellos que tengan accesos a los recursos económicos y financieros de la empresa.
En general, cualquier persona que esté habilitada para emitir pagos por transferencia a nombre de la empresa o cuente con la información necesaria para realizarlos.
Descripción
Este fraude del CEO, consiste en que un profesional con responsabilidad o del área de contabilidad de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.
Si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe y picar en el engaño.
Este tipo de «Fraude del CEO» se conoce como whaling por tratarse de phishing dirigido a «peces gordos».
Si además el profesional está visualizando el correo a través de un dispositivo móvil,se añade el inconveniente de corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más difícil de detectar. De no darse cuenta de la falsedad de la cuenta de email, podría llegar a desvelar datos confidenciales o incluso llegar a hacer grandes operaciones de manera urgente.
Para cometer el fraude del CEO los defraudadores aprovechan ocasiones en las que el jefe está ausente o no está accesible, por ejemplo, en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones para que la víctima no tenga la oportunidad de verificar de forma rápida su autenticidad. Este tipo de mensajes suelen llegar a última hora del día, especialmente los viernes, intentando dar poco margen a sus objetivos.
En la mayoría de casos de fraude del CEO, suele producirse una primera fase de investigación y espionaje, mediante un malware espía, para conseguir redactar correos electrónicos idénticos a los originales. En otras ocasiones, directamente se consigue acceder a las credenciales de la cuenta de email de la persona remitente, para realizar el fraude desde la propia cuenta.
Solución
En este tipo de fraude del CEO utilizan técnicas de ingeniería social. La forma de evitarlos es concienciar a todo el equipo de trabajadores y trabajadoras de la empresa para reconocerlos y evitarlos, haciendo especial hincapié en la importancia de comprobar la veracidad en las cuentas de los remitentes si utilizan dispositivos móviles para leer el correo.
También se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir que exijan doble verificación mediante una llamada telefónica al director para asegurarse de la veracidad del mensaje.
Además, para evitar que espíen nuestro correo electrónico y paliar los efectos de una posible infección, aconsejamos:
✔️ Tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados
✔️ Instalar y configurar filtros antispam y un buen antivirus*. Mantenerlo al día, actualizando el software y las firmas de malware *.
✔️ Desactivar la vista de correos en html en las cuentas críticas.
Para evitar ser objeto de phishing
- Si dudamos del remitente
✔️ Comprobaremos de quién es ese dominio (lo que va detrás de la @) en Whois. También podremos comprobar si esa URL aloja algún malware utilizando el servicio gratuito de análisis de URL de Virustotal.
✔️ En caso de que el correo electrónico no sea visible, analizaremos los detalles de la cabecera del mensaje para comprobar la dirección de correo del remitente, aunque este dato no es del todo fiable, pues podrían estar suplantándolo.
- Si el mensaje tiene adjuntos sospechosos
✔️ Tendremos habilitada la opción que permite mostrar la extensión de los archivos en el sistema operativo.
✔️ Si dudamos de un archivo que hemos descargado podemos comprobar, antes de ejecutarlo, si contiene malware en la web de Virustotal.
✔️ Deshabilitaremos las macros en Microsoft Office.
✔️ Para impedir la ejecución de archivos ejecutables a los usuarios, se pueden utilizar aplicaciones de lista blanca como AppLocker.
- Si el mensaje nos invita a hacer click en los enlaces
✔️ Ante la mínima sospecha copiaremos el link y lo analizaremos en Virustotal o en otra página similar.
✔️ Los enlaces acortados pueden esconder sorpresas desagradables pues a priori no podemos saber dónde nos llevarán. Una opción es copiarlos en unshorten.me para extenderlos antes de hacer clic en ellos.
Ejemplo
Un profesional con responsabilidad del departamento financiero recibe un mensaje, supuestamente de su jefe. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.
O del tipo:
En ambos casos este trabajador o trabajadora puede darse cuenta de que, aunque el nombre de su jefe o jefa si coincide, la dirección de correo del remitente no es la habitual y puede tratarse de un fraude del CEO. Esto se hace algo más complicado de detectar en el caso de que veamos el correo desde el dispositivo móvil ; ya que solo muestra el nombre del remitente y no se visualiza la dirección de correo, salvo que hagamos clic sobre el nombre de la persona que lo envía.
Los nombres de los directivos de las empresas son de dominio público, aparecen en la prensa, en la página web, en congresos, etc. En este caso el fraude no es muy elaborado pues sólo han cambiado el nombre y no el correo electrónico.
También, como hemos apuntado anteriormente es frecuente que incluyan datos personales o simulen el estilo de redacción para ganar credibilidad en el email y seguir con el fraude del CEO.
En los casos más graves, si el profesional no se diera cuenta de que es un mensaje fraudulento, podría incluso producirse un intercambio de varios emails.*
En estos casos, el defraudador intentará conseguir más datos o incluso pedir la realización de alguna transferencia instantánea:
Es importante leer los mails al completo, sea cual sea el remitente, ya que para los ciberdelincuentes es muy sencillo saltar el filtro antispam de los correos de empresa. En caso de duda, siempre es aconsejable preguntar a los administradores de los sistemas.
Fuente original del artículo: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/fraude-del-ceo
Sequo, el servicio de seguridad digital para empresas y autónomos
SEQUO ofrece una solución integral de seguridad digital especializada en pymes que nace como respuesta a la creciente necesidad de las empresas de protegerse sin incorporar personal extra ni recursos específicos.