Según la Policía Nacional esta es una modalidad de phishing en auge. El Phishing no es otra cosa que el intento de suplantación de identidad de una persona o empresa que los ciberdelincuentes utilizan para engañar y conseguir que se revele información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias.
Esta modalidad de phishing tiene una operativa muy sofisticada en la que es muy fácil caer. Por eso, te contamos en qué consiste para que puedas proteger a tu empresa del fraude y formar a tus empleados para que no caigan en este tipo de phishing que tratan de suplantar la identidad del CEO o máximo responsable de la empresa.
Cómo se desarrolla el fraude del CEO
Nos ponemos en situación de una caso real, una empresa de servicios de fisioterapia ubicada en Cantabria.
Esta empresa tiene una plantilla con 8 trabajadores, 2 administrativos para la gestión de la de la empresa y junto a ellos, los dos propietarios.
Por último, tienen un servicio externo de limpieza y desinfección de la fábrica y oficinas.
Como directores ejecutivos o CEOs, deben asistir a reuniones, congresos y otro tipo de eventos en los que su empresa debe estar representada.
Ambos propietarios tienen claro que uno de los dos debe estar siempre en la empresa para supervisar las labores diarias. Sólo en ocasiones muy excepcionales se han ausentado los dos al mismo tiempo de su empresa.
En este caso ocurrió en una de esas ocasiones en que excepcionalmente ambos estaban fuera.
Email del CEO
En esa ocasión con ambos CEOs fuera de la empresa, Unos de los administrativos, recibió un correo electrónico de su Jefa, en el que le pedía premura en la realización de una operación financiera confidencial y muy urgente.
El correo estaba dirigido a él y el nombre del remitente era el de su Jefa y propietaria de la empresa.
Por supuesto, ante un mail de un superior, el administrativo contestó con rapidez y le dijo que podía contar con él para lo que fuera necesario. Hasta aquí, nada sospechoso.
Nueva respuesta del CEO
En respuesta a este e-mail, la supuesta CEO, volvió a enviar otro mail solicitando datos sensibles como el saldo de cuenta, para la adquisición de una nueva máquina.
Esto hizo sospechar al administrativo de que podría tratarse de un fraude, ya que esto no concordaba con la estrategia de expansión de la empresa. La empresa no tenía programada esa adquisición ya que recientemente habían adquirido una máquina de última tecnología.
El administrativo no entendía que esta operación fuese «operación confidencial» ya que habitualmente era una información compartida con todos los trabajadores de la empresa. Esta forma de tramitar una adquisición se alejaba de lo habitual. Todo esto hizo sospechar al administrativo de que podría tratarse de una suplantación de identidad de uno de los Administradores de la compañía, ya que nunca se procedía de esa forma.
Llegados a este punto el administrativo, contactó vía telefónica directamente con su superiora para interesarse de primera mano por esta presunta operación confidencial.
La CEO, Al percatarse del engaño, negó cualquier tipo de compra o transacción financiera.
Operativa del Fraude del CEO
La empresa había sido víctima de un intento de robo de información a través de una técnica conocida como phishing a través de un engaño conocido como «Fraude del CEO».
El principal error que cometió el administrativo fue no verificar la dirección del remitente en el primer correo recibido. A pesar de que todo el contenido parecía correcto, debía haber verificado el correo para verificar que era un correo legítimo y no se trataba de ningún intento de fraude.
Gracias a que el segundo correo del falso CEO no estaba alineado con la dinámica de trabajo de la empresa, el administrativo pudo descubrir el engaño y corroborarlo con su CEO.
Cómo llevan a cabo el engaño
Este engaño también es conocido como Whalling por tratarse de un phishing dirigido a «Peces gordos» de una empresa o entidad.
Basa su funcionamiento en enviar un correo electrónico fraudulento a algún empleado de alto rango, contable o con capacidad de acceso a datos sensibles, información personal o bancaria, haciéndole ver que el remitente es el CEO, o máximo mandatario de la organización. En este correo, suele pedir ayuda para realizar una operación financiera confidencial y urgente.
Para ello os ciberdelincuentes envían correos electrónicos, suplantando a alguno de los altos directivos de la empresa, y simulan una situación de emergencia financiera que requiere su actuación rápida, confidencial y fuera de los cauces habituales, reclamando al empleado responsable de la realización de transferencias y cuentas bancarias que realice unos movimientos de dinero.
La fórmula utilizada por quienes cometen la estafa consiste en conseguir el acceso a la cuenta de correo electrónico de algún cargo principal de la empresa afectada mediante la infección de un ordenador, o mediante técnicas de «phishing». A partir de aquí, los estafadores hacen un seguimiento del correo de la víctima de manera que cuando detectan pagos pendientes o periódicos, suplantan la identidad de la persona afectada y ordenan desviar esos pagos a cuentas controladas por ellos y sus cómplices.
Evita que te suceda, Protege tu empresa
Este tipo de fraudes están basados en técnicas de ingeniería social. La mejor forma de evitarlos es concienciar a los empleados para que puedan detectarlos.
Es aconsejable implementar procedimientos seguros para realizar pagos, de tal manera que sean necesarias al menos dos personas o dos sistemas de verificación distintos como correo electrónico y teléfono para poder ejecutarlos.
También es importante mantener unos para toda operación financiera, de modo que una actuación fuera de estos procedimientos habituales pueda ser extraño para los trabajadores de la empresa y hacerles sospechar de que están ante un engaño.
Es importante seguir estas recomendaciones:
- Tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que pueden afectar a sistemas desactualizados.
- Instalar y configurar filtros anti spam y un buen anti virus que deberá estar actualizado.
- Desactivar la vista de correos en html en las cuentas críticas.
- No abrir correos de usuarios desconocidos o que no hayan sido solicitados. Hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales aunque sean de contactos conocidos
- Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de administrador.
Fuente base: Incibe
Y tu empresa... ¿hasta qué punto está protegida?
Calcula el riesgo de tu empresa con nuestra encuesta sobre ciberseguridad en nuestra web CG SEGUROS Ciber.
Nuevos cursos de formación online
sobre ciberseguridad para empleados
· Curso Concienciación en Ciberseguridad: 25 €, 4 horas de duración.
· Curso Gestión de la Ciberseguridad en las pymes: 90 €, 40 horas de duración.
Llámanos al 947 200 121 y obtén hasta 25% de descuento.