¿Cae alguien?
Un día que el gerente de la empresa está ocupado fuera de la oficina, alguien del equipo financiero (con acceso a realizar transferencias) recibe un correo electrónico de éste, indicándole que de manera urgente y confidencial realice una transferencia para completar la adquisición de una empresa o una nueva maquinaria.
Miles de personas han caído en la trampa y millones de euros se han obtenido con este tipo de estafa conocida como “Fraude al CEO”. Recientemente la policía ha advertido que ha resurgido y con ella ya han perdido gran cantidad de dinero PYMES, bancos, constructoras o multinacionales como Michelin o Nestlé [1].
Cómo lo hacen
La sofisticación del ataque varía de unos casos a otros, en los más sencillos el correo del remitente se parece mucho al habitual, pero no es la dirección autentica, por ejemplo, pep@nearcrums.com cuando el correcto es pep@nearcrumbs.com.
En otros mas complejos, han obtenido previamente el usuario y contraseña del e-mail del gerente a través de algún virus o engaño, ya la dirección de correo es la real. Además pueden llevar meses investigando sus emails para conocer los nombres y procedimientos del personal de la empresa.
Ejemplos
En un primer correo se puede recibir algo parecido a:
Te informo que el tratamiento de una operación financiera confidencial será tratada por ti. ¿Puedes atenderme esta tarde con prioridad?
o
Hola (nombre)
Necesito tu ayuda para una operación financiera confidencial. ¿Puedo contar con tu discreción?
(Tenemos que hablar solamente por email)
Cordialmente
Tras responder afirmativamente, pueden pedir el saldo:
Envíame el saldo de nuestras cuentas corrientes al día de hoy, es urgente. Voy a necesitar que hagas unos movimientos. ¿Puedo contar con tu entera colaboración y discreción? Es un asunto muy sensible, de momento.
Y así, mediante emails y/o también llamadas con supuestos consultores, hasta que, en un espacio de unas pocas horas, miles de euros son transferidos a una organización criminal. Aunque la compra de una empresa es la excusa más habitual, pueden darse otras como evitar multas de alguna autoridad, anticiparse a sanciones fiscales, etc…
¿Cómo protegerse?
Algunos pasos básicos:
- Formación de todos los empleados en materia de ciberseguridad (desde el gerente hasta el personal de la limpieza).
- Establecer protocolos de confirmación para operaciones importantes, por ejemplo, incluyendo al menos a dos personas para realizarlas y siempre confirmarlas por un segundo medio de comunicación con el supuesto remitente.
- Utilizar software actualizado (sistema operativo, aplicaciones, antivirus) para evitar el robo de credenciales y tener filtros antispam actualizados.
- No abrir correos de remitentes desconocidos o no solicitados, ni contestarlos. En el caso de correos sospechosos, eliminarlos sin abrirlos.
- En el caso de remitentes “supuestamente” conocidos extremar las precauciones (enlaces, ficheros adjuntos, etc..).
- Ante cualquier sospecha o duda de la autenticidad de un correo electrónico y antes de realizar ninguna operación o pinchar en ningún enlace, contactar con personal técnico informático cualificado.
Algunos pasos avanzados:
- Analizar los detalles de las cabeceras del mensaje de correo electrónico.
- Verificar el dominio del correo en la base de datos de Whois.
- Comprobar si los enlaces tienen algún malware con el servicio gratuito VirusTotal.
- Comprobar los enlaces acortados antes de hacer clic en ellos, para extenderlos, por ejemplo, en unshorten.it
- Implantar políticas de contraseñas robustas y no utilizar permisos de administrador en el trabajo diario.
- Utilizar aplicaciones de lista blanca como AppLocker.
- Realizar simulaciones de ataques y fraudes contra tu empresa para verificar la respuesta de los empleados.
Varias recomendaciones han sido obtenidas de la web INCIBE: Avisos de seguridad: Fraude del CEO y Historias reales: El fraude del CEO
¿Quieres que te ayudemos a protegerte?
Contacta con nosotros: