La estafa del CEO
https://seguridad.prestigia.es/wp-content/uploads/2020/12/estafa-ceo-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/12/estafa-ceo-prestigia-seguridad.pngEl fraude de CEO es un tipo de ataque normalmente vía correo electrónico ayudado de un ataque de ingeniería social en el que el atacante se hace pasar por su CEO. Por lo general, el atacante tiene como objetivo engañarlo para que transfiera dinero a una cuenta bancaria propiedad del atacante, para enviar información confidencial de recursos humanos o para revelar otra información confidencial. El correo electrónico falso generalmente describe una situación muy urgente para minimizar el escrutinio y el escepticismo.
Hay dos formas comunes en las que se lanza un correo electrónico fraudulento de CEO. La primera es la suplantación de nombres, en la que el atacante usa el nombre de su CEO pero una dirección de correo electrónico diferente, como en un ataque APT. A veces (pero no siempre) la dirección de correo electrónico que utiliza el atacante es similar al dominio de la empresa con algunas letras diferentes. Con la suplantación de nombres, el atacante espera que el destinatario no note la dirección incorrecta del remitente y se apresure a responder. Muchos clientes de correo electrónico, especialmente los clientes de correo electrónico móviles no muestran la dirección del remitente de forma predeterminada, lo que puede dificultar la detección de este ataque.
La segunda forma es la suplantación de nombre y correo electrónico, donde el atacante utiliza tanto el nombre del director ejecutivo como su dirección de remitente correcta, habiendo previamente obtenido las credenciales del CEO, ya hablamos de esto en como detectar si tu correo electrónico ha sido hackeado.
Ejemplo de este tipo de estafa
Un famoso ataque de fraude de CEO tuvo lugar en noviembre de 2017, en el que un estafador estafó con éxito a una empleada, robando miles de dólares de su organización. Con un tono muy informal, el atacante se hizo pasar por su CEO y le preguntó si podía manejar un pago internacional pendiente de forma urgente. Después de algunos intercambios casuales de correo electrónico sobre su disponibilidad, el atacante le indicó que transfiriera 30,120 dólares a una cuenta específica.
Aquí hay una oración de la conversación real, que explica cuán cuidadosamente redactados se usaron las palabras y el tono: “La cantidad es de $ 30,120. Supongo que ya es muy tarde para la transferencia, ¿o aún puedes hacerlo hoy?”. Como puedes ver, el atacante se aseguró de no presionar a la víctima para evitar sospechas. Desafortunadamente, la víctima no pudo identificar el fraude y pasó a transferir dicha cantidad.
Como protegerse de la estafa del CEO
Entre los métodos más comunes para lidiar con el fraude de los directores ejecutivos se incluyen la realización de sesiones de formación sobre concienciación en ciberseguridad para crear conciencia las amenazas. Os damos algunos consejos:
- Educa a tus empleados sobre las tácticas de fraude del CEO.
- Contrata servicios de simulación de ataques de phishing y formación externa en concienciación sobre ciberseguridad para mantener los riesgos de ataques de fraude de los directores ejecutivos como una prioridad para los empleados.
- Recuerda a tus responsables de seguridad que monitoricen periódicamente la seguridad de los empleados.
- Proporcionar información y campañas continuas sobre ciberseguridad, fraude de directores ejecutivos e ingeniería social. Esto incluye establecer políticas de contraseñas seguras y recordar a los empleados los riesgos que pueden surgir en el formato de correos electrónicos.
- Establece reglas de acceso a la red que limiten el uso de dispositivos personales y el intercambio de información fuera de su red corporativa.
- Asegúrate de que todas las aplicaciones, sistemas operativos, herramientas de red y software interno estén actualizados y sean seguros. Instala protecciones contra malware y software anti-spam.
Por último, desde Prestigia Seguridad, ofrecemos servicios de ciberseguridad, desde servicios de anti-phishing para concienciar o formaciones en concienciación para mejorar tu seguridad, no dudes en consultarnos para los servicios que puedan proteger a tu compañía de un ciberataque.