In Seguridad Última actualizaciónated:
Comparte en:
Cloudways ofrece alojamiento en la nube administrado para empresas de cualquier tamaño para alojar un sitio web o aplicaciones web complejas.

¿Túate¿Recibe ocasionalmente un correo electrónico de su 'CEO' solicitándole transferir dinero a un 'proveedor'? ¡No lo hagas! Es un fraude del CEO, lo explicaré en detalle.

Comencemos esto con una pequeña historia de fondo.

CEO Fraud happened to me almost two months after I joined Geekflare as a full-time writer.

No fue evidente de inmediato, ya que el estafador estaba usando un nombre de dominio reputado Virgin Media (caneae@virgenmedia.com), and I thought my CEO was somehow connected to this telecommunications company since both are located in the United Kingdom.

So, I responded to the initial ‘I would like to assign you a task, are you free?’ positively. Next, the sender detailed a task encompassing INR 24,610 (~$300) transfer to a vendor, the details of which would’ve been shared had I agreed.

But this made me a little suspicious, and I asked the sender to prove their identity before I could transfer anything. A few emails later, the fraudster called quits, and I sent the conversation to my actual CEO and Virgin Media IT cell.

Aunque no tenía formación previa para manejar este tipo de fraude, tuve suerte de no caer en esta trampa.

But we shouldn’t rely on sheer luck; instead, know this upfront and educate otros.

Fraude de CEO, también conocido como Phishing ejecutivo

esto viene debajo spear phishing, un ataque dirigido a una organización en particular o a algunos de sus empleados. Se conocerá como un ataque de phishing a la caza de ballenas if the target is a high-profile employee (like a c-suite) of any institution.

La Oficina Federal de Investigaciones, EE. UU., etiqueta estas estafas bajo el Compromiso de correo electrónico comercial (BEC) or Compromiso de cuenta de correo electrónico (EAC), que representó casi $ 2.4 mil millones en pérdidas en 2021, según este Informe de delitos en Internet.

Geográficaally, Nigeria is the number one country alojando el 46% de los fraudes de CEO, seguido de EE. UU. (27 %) y Reino Unido (15 %).

¿Cómo funciona esto?

En particular, el fraude del CEO no necesita ninguna habilidad técnica o conocimiento criminal. Todo lo que recibirá es un correo electrónico aleatorio y ingeniería social para engañarlo para que envíe fondos o revTratar detalles sensibles para futuras acciones ilícitas.

Veamos algunas formas en que los malos actores hacen esto 'actualmente'.

TIPO 1

Cualquiera dirección de correo electrónico imponerse como el director general pidiendo algo de dinero es la forma más simple de tal engaño. Y este es fácil de detectar. Todo lo que tienes que buscar es la dirección de correo electrónico (y no el nombre).

eneroally, the domain name (xyz@nombreempresa.com) gives away fraud. However, the email address may indicate a renowned organization (as it was in my case).

Estos premios agregaron legitimidad a la estafa, que puede victimizar a un profesional desinformado. Además, la dirección de correo electrónico puede parecer genuina pero con ligeros cambios imperceptibles, como @gmial.com en lugar de @gmail.com.

finalally, it can be from a legitimate but compromised email address, making it extremely tough to detect the scam.

TIPO 2

Another more sophisticated technique uses video calls. This includes a ‘managed’ email address of a top-ranking official sending ‘urgent’ online meeting requests to its employees, mostly in the finance department.

A continuación, los participantes ven una imagen sin audio (o con un audio falso) con la afirmación de que la conexión no funciona como se esperaba.

Subsequently, the ‘business executive’ asks to initiate a wire transfer to unknown bank accounts, from where the money gets siphoned off via other channels (read cryptocurrencies) after a successful fraud.

TIPO 3

Esta es una variación del Tipo 1, pero se dirige a los socios comerciales y no a los empleados, obteniendo un nombre, fraude de facturas, más adecuado a su modus operandi.

En este caso, el cliente de una organización recibe un correo electrónico para pagar una factura a cuentas bancarias específicas con urgencia.

This one has the highest success rate as it’s normally pulled off using a hacked company email address. And since email is the way, sometimes exclusively, professionals communicate, it results in huge financial and reputation losses to the target organization.

¿Cómo verificar el fraude del CEO?

Como empleado, es difícil rechazar una solicitud de su propio director general. Esta psique es la causa principal de que los perpetradores tengan éxito fácilmente con solo un correo electrónico aleatorio.

Además de cuestionar las solicitudes financieras, es mejor solicitar una reunión por video antes de "cooperar".

Además, en la mayoría de los casos, solo necesita verificar la dirección de correo electrónico cuidadosamente. Es posible que no pertenezca a su organización o que tenga versiones mal escritas del nombre de la empresa.

Además, una institución no puede registrar todas las extensiones de dominio. Por lo tanto, debe tener cuidado de recibir un correo electrónico de xyz@empresa.net cuando la dirección oficial debe ser xyz@empresa.com.

Lastly, you might be receiving emails from a company address operated from ‘outside’ or a rogue internal member. The key to such a situation is verbal confirmation or keeping multiple executives in the loop before making any payments.

Y la forma más efectiva de proteger su organización, si lidera una, es incorporar la simulación de phishing en la capacitación de rutina de los empleados. Porque estos estafadores evolucionan constantemente. Por lo tanto, dar una única advertencia no ayudará mucho a sus empleados.

¡Terminando!

Unfortunately, we depend heavily on correos comerciales, dejando grandes lagunas que los delincuentes suelen explotar.

While there isn’t a substitute for this form of communication yet, we can add business partners on applications such as Slack or even WhatsApp. This will help quickly confirm if anything seems suspicious and avoid such setbacks.

PD: Si yo fuera tú, no me perdería este artículo que cubre tipos de delitos cibernéticos para alfabetización adicional en Internet.

Comparte en:
  • hitesh sant
    Autor
    Hitesh trabaja como escritor senior en Geekflare e incursiona en la ciberseguridad, la productividad, los juegos y el marketing. Además, tiene una maestría en ingeniería de transporte. Su tiempo libre lo dedica principalmente a jugar con su hijo, leer o tumbarse…

Gracias a nuestros patrocinadores

Más lecturas interesantes sobre seguridad

Técnicas avanzadas de formato en Google Docs
Más allá de lo básico: técnicas avanzadas de formato en Google Docs

Google Docs hace un gran trabajo manteniendo las cosas simples. La configuración de página predeterminada funciona muy bien para la mayoría de los documentos y las opciones de formato comunes se encuentran directamente en la barra de herramientas. Sin embargo, cuando necesites realizar algún formateo avanzado, necesitarás profundizar un poco más.

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Prueba la IA de Murf
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder