Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

¿Correo electrónico de su CEO?: Explicación del fraude de phishing ballenero

Correo electrónico-de-su-CEO-Whaling-Phishing-Fraud-Explained
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Últimamente recibió un correo electrónico de su 'CEO' solicitando transferir dinero a un 'proveedor'? ¡No lo hagas! Es un fraude de CEO que explicaré en detalle.

Comencemos esto con una pequeña historia de fondo.

El fraude del CEO me sucedió casi dos meses después de que me uní a Geekflare como escritor a tiempo completo.

CEO-fraude-estafa

No fue evidente de inmediato, ya que el estafador estaba usando un nombre de dominio reputado Virgin Media (caneae@virgenmedia.com), y pensé que mi CEO estaba relacionado de alguna manera con esta empresa de telecomunicaciones ya que ambas están ubicadas en el Reino Unido.

Entonces, respondí a la inicial 'Me gustaría asignarte una tarea, ¿estás libre?' afirmativamente. A continuación, el remitente detalló una tarea que abarcaba la transferencia de INR 24,610 300 (~$XNUMX) a un proveedor, cuyos detalles se habrían compartido si hubiera estado de acuerdo.

Pero esto me hizo sospechar un poco y le pedí al remitente que probara su identidad antes de poder transferir algo. Unos cuantos correos electrónicos más tarde, el estafador se dio por vencido y envié la conversación a mi actual CEO y célula de TI de Virgin Media.

Aunque no tenía formación previa para manejar este tipo de fraude, tuve suerte de no caer en esta trampa.

Pero no debemos confiar en la pura suerte; en cambio, sepa esto por adelantado y eduque a otros.

CEO Fraud, aka Executive Phishing

esto viene debajo spear phishing, un ataque dirigido a una organización en particular o a algunos de sus empleados. Se conocerá como un ataque de phishing a la caza de ballenas si el objetivo es un empleado de alto perfil (como un c-suite) de cualquier institución.

La Oficina Federal de Investigaciones, EE. UU., etiqueta estas estafas bajo el Compromiso de correo electrónico comercial (BEC) or Compromiso de cuenta de correo electrónico (EAC), que representó casi $ 2.4 mil millones en pérdidas en 2021, según este Informe de delitos en Internet.

Geográficamente, Nigeria es el país número uno alojando el 46% de los fraudes de CEO, seguido de EE. UU. (27 %) y Reino Unido (15 %).

How does this work?

Como funciona esto

En particular, el fraude del CEO no necesita ninguna habilidad técnica o conocimiento criminal. Todo lo que recibirá es un correo electrónico aleatorio y ingeniería social para engañarlo para que envíe fondos o revele detalles confidenciales para continuar con el curso de la acción ilícita.

Veamos algunas formas en que los malos actores hacen esto 'actualmente'.

TIPO 1

Cualquiera dirección de correo electrónico imponerse como el director general pidiendo algo de dinero es la forma más simple de tal engaño. Y este es fácil de detectar. Todo lo que tienes que buscar es la dirección de correo electrónico (y no el nombre).

Generalmente, el nombre de dominio (xyz@nombreempresa.com) delata el fraude. Sin embargo, la dirección de correo electrónico puede indicar una organización de renombre (como fue en mi caso).

Estos premios agregaron legitimidad a la estafa, que puede victimizar a un profesional desinformado. Además, la dirección de correo electrónico puede parecer genuina pero con ligeros cambios imperceptibles, como @gmial.com en lugar de @gmail.com.

Finalmente, puede ser de una dirección de correo electrónico legítima pero comprometida, lo que hace que sea extremadamente difícil detectar la estafa.

TIPO 2

Otra técnica más sofisticada utiliza las videollamadas. Esto incluye una dirección de correo electrónico "administrada" de un funcionario de alto rango que envía solicitudes de reunión en línea "urgentes" a sus empleados, principalmente en el departamento de finanzas.

A continuación, los participantes ven una imagen sin audio (o con un audio falso) con la afirmación de que la conexión no funciona como se esperaba.

Posteriormente, el 'ejecutivo de negocios' solicita iniciar una transferencia bancaria a cuentas bancarias desconocidas, desde donde el dinero se desvía a través de otros canales (léase criptomonedas) después de un fraude exitoso.

TIPO 3

Esta es una variación del Tipo 1, pero se dirige a los socios comerciales y no a los empleados, obteniendo un nombre, fraude de facturas, más adecuado a su modus operandi.

En este caso, el cliente de una organización recibe un correo electrónico para pagar una factura a cuentas bancarias específicas con urgencia.

CEO-fraude-1
Fuente: CBC News

Este tiene la tasa de éxito más alta, ya que normalmente se logra usando una dirección de correo electrónico de la empresa pirateada. Y dado que el correo electrónico es la forma, a veces exclusiva, en que los profesionales se comunican, genera enormes pérdidas financieras y de reputación para la organización objetivo.

How to Check CEO Fraud?

Cómo-verificar-el-fraude-del-CEO

Como empleado, es difícil rechazar una solicitud de su propio director general. Esta psique es la causa principal de que los perpetradores tengan éxito fácilmente con solo un correo electrónico aleatorio.

Además de cuestionar las solicitudes financieras, es mejor solicitar una reunión por video antes de "cooperar".

Además, en la mayoría de los casos, solo necesita verificar la dirección de correo electrónico cuidadosamente. Es posible que no pertenezca a su organización o que tenga versiones mal escritas del nombre de la empresa.

Además, una institución no puede registrar todas las extensiones de dominio. Por lo tanto, debe tener cuidado de recibir un correo electrónico de xyz@empresa.net cuando la dirección oficial debe ser xyz@empresa.com.

Por último, es posible que esté recibiendo correos electrónicos de la dirección de una empresa operada desde 'fuera' o de un miembro interno deshonesto. La clave para tal situación es la confirmación verbal o mantener informados a varios ejecutivos antes de realizar cualquier pago.

Y la forma más efectiva de proteger su organización, si lidera una, es incorporar la simulación de phishing en la capacitación de rutina de los empleados. Porque estos estafadores evolucionan constantemente. Por lo tanto, dar una única advertencia no ayudará mucho a sus empleados.

¡Terminando!

Desafortunadamente, dependemos mucho de correos comerciales, dejando grandes lagunas que los delincuentes suelen explotar.

Si bien aún no existe un sustituto para esta forma de comunicación, podemos agregar socios comerciales en aplicaciones como Slack o incluso WhatsApp. Esto ayudará a confirmar rápidamente si algo parece sospechoso y evitar tales contratiempos.

PD: Si yo fuera tú, no me perdería este artículo que cubre tipos de delitos cibernéticos para alfabetización adicional en Internet.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder