¿Últimamente recibió un correo electrónico de su ‘CEO’ solicitando transferir dinero a un ‘proveedor’? ¡No lo hagas! Es un fraude de CEO que explicaré en detalle.
Comencemos esto con una pequeña historia de fondo.
El fraude del CEO me sucedió casi dos meses después de que me uní a kirukiru.es como escritor a tiempo completo.
No fue evidente de inmediato, ya que el estafador estaba usando un nombre de dominio reputado Virgin Media ([email protected]), y pensé que mi CEO estaba relacionado de alguna manera con esta empresa de telecomunicaciones ya que ambas están ubicadas en el Reino Unido.
Entonces, respondí a la inicial ‘Me gustaría asignarte una tarea, ¿estás libre?’ afirmativamente. A continuación, el remitente detalló una tarea que abarcaba la transferencia de INR 24 610 (~$300) a un proveedor, cuyos detalles se habrían compartido si hubiera estado de acuerdo.
Pero esto me hizo sospechar un poco y le pedí al remitente que probara su identidad antes de poder transferir algo. Unos cuantos correos electrónicos más tarde, el estafador se dio por vencido y envié la conversación a mi actual CEO y célula de TI de Virgin Media.
Aunque no tenía formación previa para manejar este tipo de fraude, tuve suerte de no caer en esta trampa.
Pero no debemos confiar en la pura suerte; en cambio, sepa esto por adelantado y eduque a otros.
Tabla de contenido
Fraude de CEO, también conocido como Phishing ejecutivo
Esto viene bajo el phishing de lanza, un ataque dirigido a una organización en particular o algunos de sus empleados. Se conocerá como un ataque de phishing ballenero si el objetivo es un empleado de alto perfil (como un c-suite) de cualquier institución.
La Oficina Federal de Investigaciones, EE. UU., clasifica estas estafas bajo Compromiso de correo electrónico comercial (BEC) o Compromiso de cuenta de correo electrónico (EAC), que representó casi $ 2.4 mil millones en pérdidas en 2021, según este Informe sobre delitos en Internet.
Geográficamente, Nigeria es el país número uno que alberga el 46 % de los fraudes de los directores ejecutivos, seguido de EE. UU. (27 %) y el Reino Unido (15 %).
¿Como funciona esto?
En particular, el fraude del CEO no necesita ninguna habilidad técnica o conocimiento criminal. Todo lo que obtendrá es un correo electrónico aleatorio e ingeniería social para engañarlo para que envíe fondos o revele detalles confidenciales para continuar con el curso de la acción ilícita.
Veamos algunas formas en que los malos actores hacen esto ‘actualmente’.
Tipo 1
Una dirección de correo electrónico al azar que se hace pasar por el CEO pidiendo algo de dinero es la forma más simple de tales trucos. Y este es fácil de detectar. Todo lo que tienes que buscar es la dirección de correo electrónico (y no el nombre).
Generalmente, el nombre de dominio ([email protected]) delata el fraude. Sin embargo, la dirección de correo electrónico puede indicar una organización de renombre (como fue en mi caso).
Estos premios agregaron legitimidad a la estafa, que puede victimizar a un profesional desinformado. Además, la dirección de correo electrónico puede parecer genuina pero con ligeros cambios imperceptibles, como @gmial.com en lugar de @gmail.com.
Finalmente, puede ser de una dirección de correo electrónico legítima pero comprometida, lo que hace que sea extremadamente difícil detectar la estafa.
Tipo 2
Otra técnica más sofisticada utiliza las videollamadas. Esto incluye una dirección de correo electrónico «administrada» de un funcionario de alto rango que envía solicitudes de reunión en línea «urgentes» a sus empleados, principalmente en el departamento de finanzas.
A continuación, los participantes ven una imagen sin audio (o con un audio falso) con la afirmación de que la conexión no funciona como se esperaba.
Posteriormente, el ‘ejecutivo de negocios’ solicita iniciar una transferencia bancaria a cuentas bancarias desconocidas, desde donde el dinero se desvía a través de otros canales (léase criptomonedas) después de un fraude exitoso.
Tipo 3
Esta es una variación del Tipo 1, pero se dirige a los socios comerciales y no a los empleados, obteniendo un nombre, fraude de facturas, más adecuado a su modus operandi.
En este caso, el cliente de una organización recibe un correo electrónico para pagar una factura a cuentas bancarias específicas con urgencia.
Fuente: Noticias de CBC
Este tiene la tasa de éxito más alta, ya que normalmente se logra usando una dirección de correo electrónico de la empresa pirateada. Y dado que el correo electrónico es la forma, a veces exclusiva, en que los profesionales se comunican, genera enormes pérdidas financieras y de reputación para la organización objetivo.
¿Cómo verificar el fraude del CEO?
Como empleado, es difícil rechazar una solicitud de su propio director general. Esta psique es la causa principal de que los perpetradores tengan éxito fácilmente con solo un correo electrónico aleatorio.
Además de cuestionar las solicitudes financieras, es mejor solicitar una reunión por video antes de «cooperar».
Además, en la mayoría de los casos, solo necesita verificar la dirección de correo electrónico cuidadosamente. Es posible que no pertenezca a su organización o que tenga versiones mal escritas del nombre de la empresa.
Además, una institución no puede registrar todas las extensiones de dominio. Por lo tanto, debe tener cuidado de recibir un correo electrónico de [email protected] cuando la dirección oficial debe ser [email protected]
Por último, es posible que esté recibiendo correos electrónicos de la dirección de una empresa operada desde ‘fuera’ o de un miembro interno deshonesto. La clave para tal situación es la confirmación verbal o mantener informados a varios ejecutivos antes de realizar cualquier pago.
Y la forma más efectiva de proteger su organización, si lidera una, es incorporar la simulación de phishing en la capacitación de rutina de los empleados. Porque estos estafadores evolucionan constantemente. Por lo tanto, dar una única advertencia no ayudará mucho a sus empleados.
¡Terminando!
Desafortunadamente, dependemos en gran medida de los correos electrónicos comerciales, lo que deja grandes lagunas que los delincuentes suelen explotar.
Si bien aún no existe un sustituto para esta forma de comunicación, podemos agregar socios comerciales en aplicaciones como Slack o incluso WhatsApp. Esto ayudará a confirmar rápidamente si algo parece sospechoso y evitar tales contratiempos.
PD: Si yo fuera usted, no me perdería este artículo que cubre los tipos de delitos cibernéticos para una mayor alfabetización en Internet.