Aunque este método de ataque no es novedoso, ni está en boga, esto no quiere decir que ha desaparecido. Hablamos del llamado “Fraude del CEO”, también conocido como “suplantación de identidad de un directivo”. Las estafas digitales siguen teniendo consecuencias económicas graves y crean problemas en muchas empresas, como en el caso reportado en Groß-Gerau, Hesse. Grupos de desconocidos lograron capturar una suma de 380.000 Euros usando el método de Fraude del CEO. En total, el daño causado por este tipo de ataques hasta el año 2016 fue de 3.100 millones de dólares en todo el mundo. Esto es comparable a las ganancias netas de Volkswagen en 2017.

Pero, ¿cómo es posible que después de años de conocimiento público de este método de ataque los ciberdelincuentes siguen teniendo éxito? A continuación, le daremos un vistazo al procedimiento y las técnicas sofisticadas de fraude que emplean los atacantes, para así comprender un poco mejor el éxito de este método.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

La mitad de la batalla es la planificación: la fase preparatoria del “Fraude del CEO

Por lo general, el objetivo del Fraude del CEO es una sola persona: un contador con autorización para realizar transferencias, por ejemplo. Para realizar este ataque con el mayor nivel de autenticidad es necesario, ante todo, un nivel de preparación excelente. La palabra mágica para ello es la “Ingeniería social. Se trata simplemente del intento que realizan los criminales de recopilar con antemano la mayor cantidad de información acerca de la víctima.

 

Estos datos se encuentran muchas veces en redes sociales como Facebook, LinkedIn o Xing, y es muy común que, sin mucho contratiempo, los atacantes pueden descubrir en ellas información como el cargo, el lugar de trabajo y hasta el organigrama completo de la empresa.

 

Trucos y engaños: la fase de ataque del “Fraude del CEO”

Una vez que los estafadores hayan recopilado suficiente información pertinente, se lleva a cabo el primero contacto y, por ende, la fase de ataque del Fraude del CEO. Los atacantes intentan comunicarse con la persona usando un tono de familiaridad. Esto lo logran haciendo referencia en sus correos electrónicos a eventos actuales en la empresa. Por ejemplo, una adquisición inminente o cifras nuevas sobre las ventas, que pudieron haberse extraído de antemano de una nota de prensa.

Para que el fraude salga perfecto, algunos criminales hacen uso de una cuenta de correo electrónico que es muy similar a la del CEO real. Un truco pérfido es reemplazar ciertas letras con otras muy similares. La letra “L” en andres.lopez@ejemplo.com puede reemplazarse muy fácilmente con una “I” mayúscula. Para la mayoría de la gente, este método de fraude, llamado “Spoofing” por los expertos, solo puede detectarse si se observa muy cuidadosamente la dirección.

Otro truco es el de falsificar una comunicación por correo electrónico existente. Si el criminal conoce a las personas con las que el director de una empresa se comunica regularmente y, en el mejor de los casos, los temas de los que normalmente hablan, le será muy fácil al atacante imitar dichas comunicaciones. El ataque se completa además con logotipos falsos y firmas electrónicos.

 

Durante las comunicaciones reales, los ciberdelincuentes emplean todo un arsenal de trucos psicológicos para así iniciar las transacciones que desean. Por ejemplo, pueden felicitar el trabajo de la persona objetivo o aplicar algún tipo de presión.

Es común que los atacantes pidan que se transfiera una suma de dinero lo antes posible o de lo contrario este “pacto secreto” no se dará. Además, deben actuar con discreción para no alertar a los colegas y así empeorar la situación.

Haga clic aquí para ampliar

¿Cuál es la clave del éxito de este método de fraude?

Tal como es el caso con otros ciberataques, los propios empleados son el factor de riesgo principal. En Alemania, la Agencia federal para la seguridad de la información (BSI) ha alertado durante años acerca de la gestión descuidada de la información personal. Sin embargo, las empresas también pueden empeorar la situación. Muchas veces, estas publican mucha información en sus redes sociales, con la intención de que funcione como estrategia de marketing. Los delincuentes consiguen en ella una oportunidad de ataque muy fácil y la posibilidad de emplear una variedad de contenido sin mayor dificultad.

Otro factor clave en la cadena de fraude es el componente psicológico. Aquí, los atacantes hacen uso descarado de emociones como el respeto y la confianza que se tiene con los niveles superiores de la jerarquía empresarial y así manipular a las víctimas.

¿Cómo puedo proteger a mi empresa del Fraude del CEO?

Una dosis saludable de desconfianza y la formación adecuada son las herramientas más importantes a la hora de combatir este tipo de fraude. Desde el punto de vista de la empresa, hace sentido, por ejemplo, hacer frente a la ignorancia de muchos empleados a través de eventos de información regulares. De esta manera, pueden darse a conocer los trucos de los atacantes, como la suplantación de letras en los correos o las firmas falsas.

Otra medida es el uso de un servicio de cifrado de correo electrónico, ya que este detectará de inmediato una firma incorrecta o falsa. Si a pesar de todos los esfuerzos aún tiene dudas, lo mejor es llamar por teléfono a la persona en cuestión, para así despejar cualquier disyuntiva. Es una solución que no toma mucho tiempo y que puede evitar un posible fraude, incluso en las etapas iniciales.

Por otro lado, hay maneras de evitar del todo que estos correos lleguen a las bandejas de entrada de los empleados. Los Servicios de seguridad administrados, como Advanced Threat Protection de Hornetsecurity, emplean sistemas forenses avanzados para detectar y bloquear ataques complejos como el Fraude del CEO. Una vez que se haya identificado un ataque, ATP envía automáticamente una notificación a los responsables de la seguridad. De esta manera, ataques como el de Fraude del CEO, entre otros, no tienen la más mínima oportunidad de tener éxito, y sus empleados podrán concentrarse completamente en sus tareas.

Información adicional:

  1. Hornetsecurity Managed Spamfilter Service para empresas
  2. ¿Desea obtener más información sobre Advanced Threat Protection?? ¡Averigua más ahora!.