¿Últimamente recibió un correo electrónico de su 'CEO' solicitando transferir dinero a un 'proveedor'? ¡No lo hagas! Es un fraude de CEO que explicaré en detalle.
Comencemos esto con una pequeña historia de fondo.
El fraude del CEO me sucedió casi dos meses después de que me uní a Geekflare como escritor a tiempo completo.
No fue evidente de inmediato, ya que el estafador estaba usando un nombre de dominio reputado Virgin Media (caneae@virgenmedia.com), y pensé que mi CEO estaba relacionado de alguna manera con esta empresa de telecomunicaciones ya que ambas están ubicadas en el Reino Unido.
Entonces, respondí a la inicial 'Me gustaría asignarte una tarea, ¿estás libre?' afirmativamente. A continuación, el remitente detalló una tarea que abarcaba la transferencia de INR 24,610 300 (~$XNUMX) a un proveedor, cuyos detalles se habrían compartido si hubiera estado de acuerdo.
Pero esto me hizo sospechar un poco y le pedí al remitente que probara su identidad antes de poder transferir algo. Unos cuantos correos electrónicos más tarde, el estafador se dio por vencido y envié la conversación a mi actual CEO y célula de TI de Virgin Media.
Aunque no tenía formación previa para manejar este tipo de fraude, tuve suerte de no caer en esta trampa.
Pero no debemos confiar en la pura suerte; en cambio, sepa esto por adelantado y eduque a otros.
CEO Fraud, aka Executive Phishing
esto viene debajo spear phishing, un ataque dirigido a una organización en particular o a algunos de sus empleados. Se conocerá como un ataque de phishing a la caza de ballenas si el objetivo es un empleado de alto perfil (como un c-suite) de cualquier institución.
La Oficina Federal de Investigaciones, EE. UU., etiqueta estas estafas bajo el Compromiso de correo electrónico comercial (BEC) or Compromiso de cuenta de correo electrónico (EAC), que representó casi $ 2.4 mil millones en pérdidas en 2021, según este Informe de delitos en Internet.
Geográficamente, Nigeria es el país número uno alojando el 46% de los fraudes de CEO, seguido de EE. UU. (27 %) y Reino Unido (15 %).
How does this work?
En particular, el fraude del CEO no necesita ninguna habilidad técnica o conocimiento criminal. Todo lo que recibirá es un correo electrónico aleatorio y ingeniería social para engañarlo para que envíe fondos o revele detalles confidenciales para continuar con el curso de la acción ilícita.
Veamos algunas formas en que los malos actores hacen esto 'actualmente'.
TIPO 1
Cualquiera dirección de correo electrónico imponerse como el director general pidiendo algo de dinero es la forma más simple de tal engaño. Y este es fácil de detectar. Todo lo que tienes que buscar es la dirección de correo electrónico (y no el nombre).
Generalmente, el nombre de dominio (xyz@nombreempresa.com) delata el fraude. Sin embargo, la dirección de correo electrónico puede indicar una organización de renombre (como fue en mi caso).
Estos premios agregaron legitimidad a la estafa, que puede victimizar a un profesional desinformado. Además, la dirección de correo electrónico puede parecer genuina pero con ligeros cambios imperceptibles, como @gmial.com en lugar de @gmail.com.
Finalmente, puede ser de una dirección de correo electrónico legítima pero comprometida, lo que hace que sea extremadamente difícil detectar la estafa.
TIPO 2
Otra técnica más sofisticada utiliza las videollamadas. Esto incluye una dirección de correo electrónico "administrada" de un funcionario de alto rango que envía solicitudes de reunión en línea "urgentes" a sus empleados, principalmente en el departamento de finanzas.
A continuación, los participantes ven una imagen sin audio (o con un audio falso) con la afirmación de que la conexión no funciona como se esperaba.
Posteriormente, el 'ejecutivo de negocios' solicita iniciar una transferencia bancaria a cuentas bancarias desconocidas, desde donde el dinero se desvía a través de otros canales (léase criptomonedas) después de un fraude exitoso.
TIPO 3
Esta es una variación del Tipo 1, pero se dirige a los socios comerciales y no a los empleados, obteniendo un nombre, fraude de facturas, más adecuado a su modus operandi.
En este caso, el cliente de una organización recibe un correo electrónico para pagar una factura a cuentas bancarias específicas con urgencia.
Este tiene la tasa de éxito más alta, ya que normalmente se logra usando una dirección de correo electrónico de la empresa pirateada. Y dado que el correo electrónico es la forma, a veces exclusiva, en que los profesionales se comunican, genera enormes pérdidas financieras y de reputación para la organización objetivo.
How to Check CEO Fraud?
Como empleado, es difícil rechazar una solicitud de su propio director general. Esta psique es la causa principal de que los perpetradores tengan éxito fácilmente con solo un correo electrónico aleatorio.
Además de cuestionar las solicitudes financieras, es mejor solicitar una reunión por video antes de "cooperar".
Además, en la mayoría de los casos, solo necesita verificar la dirección de correo electrónico cuidadosamente. Es posible que no pertenezca a su organización o que tenga versiones mal escritas del nombre de la empresa.
Además, una institución no puede registrar todas las extensiones de dominio. Por lo tanto, debe tener cuidado de recibir un correo electrónico de xyz@empresa.net cuando la dirección oficial debe ser xyz@empresa.com.
Por último, es posible que esté recibiendo correos electrónicos de la dirección de una empresa operada desde 'fuera' o de un miembro interno deshonesto. La clave para tal situación es la confirmación verbal o mantener informados a varios ejecutivos antes de realizar cualquier pago.
Y la forma más efectiva de proteger su organización, si lidera una, es incorporar la simulación de phishing en la capacitación de rutina de los empleados. Porque estos estafadores evolucionan constantemente. Por lo tanto, dar una única advertencia no ayudará mucho a sus empleados.
¡Terminando!
Desafortunadamente, dependemos mucho de correos comerciales, dejando grandes lagunas que los delincuentes suelen explotar.
Si bien aún no existe un sustituto para esta forma de comunicación, podemos agregar socios comerciales en aplicaciones como Slack o incluso WhatsApp. Esto ayudará a confirmar rápidamente si algo parece sospechoso y evitar tales contratiempos.
PD: Si yo fuera tú, no me perdería este artículo que cubre tipos de delitos cibernéticos para alfabetización adicional en Internet.
