El fraude del CEO, también conocido como Business Email Compromise, acumula estafas de $26 mil millones según el FBI. Descubra cómo puede prevenir este tipo de ataque y qué hacer si se convierte en víctima.

¿Qué es el fraude del CEO?

Es una estafa en la que los ciberdelincuentes falsifican las cuentas de correo electrónico de la empresa y se hacen pasar por ejecutivos para tratar de engañar a un empleado de contabilidad o recursos humanos para que ejecute transferencias bancarias no autorizadas o envíe información fiscal confidencial.

El FBI llama a este tipo de estafa como Business Email Compromise y la define como "una estafa sofisticada dirigida a empresas que trabajan con proveedores extranjeros y/o empresas que realizan pagos mediante transferencias electrónicas con regularidad". La estafa se lleva a cabo al comprometer cuentas de correo electrónico comerciales legítimas a través de técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizadas”.

Los cuatro mejores métodos de ataque

Entender los diferentes vectores de ataque de este tipo de delitos es clave a la hora de la prevención. Así lo hacen los ciberdelincuentes:

1. Pishing

   Los correos electrónicos de phishing se envían a una gran cantidad de usuarios simultáneamente en un intento de "pescar" información confidencial haciéndose pasar por fuentes confiables, a menudo con logotipos de apariencia legítima. Los bancos, los proveedores de tarjetas de crédito, las fuerzas del orden público son algunos de los más comunes. 

2. Spear Phishing

   Esta es una forma de phishing mucho más enfocada. El ciberdelincuente ha estudiado al grupo o ha recopilado datos de los sitios de redes sociales para los estafadores. Un correo electrónico de spear phishing generalmente se envía a una persona o a un pequeño grupo de personas que usan ese banco o servicio. Se incluye alguna forma de personalización, tal vez el nombre de la persona o el nombre de un cliente.

3. Executive Whaling

   Aquí, los ciberdelincuentes se dirigen a los altos ejecutivos y administradores, generalmente para desviar dinero de las cuentas o robar datos confidenciales. La personalización y el conocimiento detallado del ejecutivo y del negocio son las señas de identidad de este tipo de fraude.

4. Ingeniería Social
   Dentro de un contexto de seguridad, la ingeniería social significa el uso de manipulación psicológica para engañar a las personas para que divulguen información confidencial o proporcionen acceso a fondos. El arte de la ingeniería social podría incluir extraer información de sitios de redes sociales. LinkedIn, Facebook y otros que brindan una gran cantidad de información sobre el personal de la organización. Esto puede incluir su información de contacto, conexiones, amigos, negocios en curso y más.

Objetivos del fraude de CEO

El CEO no siempre es el que está en la mira de un criminal. Hay otros cuatro grupos de empleados considerados objetivos valiosos dadas sus funciones y acceso a fondos/información:

• Finanzas

  El departamento de finanzas es especialmente vulnerable en las empresas que regularmente realizan grandes transferencias electrónicas. Con demasiada frecuencia, las políticas internas descuidadas sólo exigen un correo electrónico del director ejecutivo u otra persona de alto nivel para iniciar la transferencia. Los ciberdelincuentes generalmente ingresan a través del phishing, pasan algunos meses haciendo reconocimiento y formulan un plan. Reflejan los protocolos habituales de autorización de transferencias bancarias, secuestran una cuenta de correo electrónico relevante y envían la solicitud a la persona adecuada en finanzas para transmitir los fondos. Además del CFO, puede ser cualquier persona en las cuentas que esté autorizada para transferir fondos.

• Recursos Humanos

  Recursos Humanos representa una maravillosa vía abierta hacia la empresa moderna. Después de todo, tiene acceso a todas las personas de la organización, administra la base de datos de empleados y está a cargo del reclutamiento.  Recursos humanos recibe solicitudes de correos electrónicos falsificados y termina enviando información de los empleados, como números de seguro social y direcciones de correo electrónico de los empleados, a organizaciones criminales.

• Equipo ejecutivo

  Cada miembro del equipo ejecutivo puede considerarse un objetivo de alto valor. Muchos poseen algún tipo de autoridad financiera. Si sus cuentas de correo electrónico son pirateadas, generalmente proporciona a los ciberdelincuentes acceso a todo tipo de información confidencial, sin mencionar la inteligencia sobre el tipo de tratos que pueden estar en curso. Por lo tanto, las cuentas ejecutivas deben recibir una atención particular desde una perspectiva de seguridad.

• TI

  El administrador de TI y el personal de TI con autoridad sobre los controles de acceso, la gestión de contraseñas y las cuentas de correo electrónico son otros objetivos de alto valor. Si sus credenciales son pirateadas, obtienen acceso a todas las partes de la organización.

¿TE HA INTERESADO ESTE ARTÍCULO? 

También por cualquier duda o consulta no dudes en escribirme: romina.acro@avalora.com