¿Correo electrónico de su CEO?: Explicación del fraude de phishing ballenero
By
hitesh sant
¿Túate¿Recibe ocasionalmente un correo electrónico de su 'CEO' solicitándole transferir dinero a un 'proveedor'? ¡No lo hagas! Es un fraude del CEO, lo explicaré en detalle.
Comencemos esto con una pequeña historia de fondo.
CEO Fraud happened to me almost two months after I joined Geekflare as a full-time writer.
No fue evidente de inmediato, ya que el estafador estaba usando un nombre de dominio reputado Virgin Media (caneae@virgenmedia.com), and I thought my CEO was somehow connected to this telecommunications company since both are located in the United Kingdom.
So, I responded to the initial ‘I would like to assign you a task, are you free?’ positively. Next, the sender detailed a task encompassing INR 24,610 (~$300) transfer to a vendor, the details of which would’ve been shared had I agreed.
But this made me a little suspicious, and I asked the sender to prove their identity before I could transfer anything. A few emails later, the fraudster called quits, and I sent the conversation to my actual CEO and Virgin Media IT cell.
Aunque no tenía formación previa para manejar este tipo de fraude, tuve suerte de no caer en esta trampa.
But we shouldn’t rely on sheer luck; instead, know this upfront and educate otros.
Fraude de CEO, también conocido como Phishing ejecutivo
esto viene debajo spear phishing, un ataque dirigido a una organización en particular o a algunos de sus empleados. Se conocerá como un ataque de phishing a la caza de ballenas if the target is a high-profile employee (like a c-suite) of any institution.
La Oficina Federal de Investigaciones, EE. UU., etiqueta estas estafas bajo el Compromiso de correo electrónico comercial (BEC) or Compromiso de cuenta de correo electrónico (EAC), que representó casi $ 2.4 mil millones en pérdidas en 2021, según este Informe de delitos en Internet.
Geográficaally, Nigeria is the number one country alojando el 46% de los fraudes de CEO, seguido de EE. UU. (27 %) y Reino Unido (15 %).
¿Cómo funciona esto?
En particular, el fraude del CEO no necesita ninguna habilidad técnica o conocimiento criminal. Todo lo que recibirá es un correo electrónico aleatorio y ingeniería social para engañarlo para que envíe fondos o revTratar detalles sensibles para futuras acciones ilícitas.
Veamos algunas formas en que los malos actores hacen esto 'actualmente'.
TIPO 1
Cualquiera dirección de correo electrónico imponerse como el director general pidiendo algo de dinero es la forma más simple de tal engaño. Y este es fácil de detectar. Todo lo que tienes que buscar es la dirección de correo electrónico (y no el nombre).
eneroally, the domain name (xyz@nombreempresa.com) gives away fraud. However, the email address may indicate a renowned organization (as it was in my case).
Estos premios agregaron legitimidad a la estafa, que puede victimizar a un profesional desinformado. Además, la dirección de correo electrónico puede parecer genuina pero con ligeros cambios imperceptibles, como @gmial.com en lugar de @gmail.com.
finalally, it can be from a legitimate but compromised email address, making it extremely tough to detect the scam.
TIPO 2
Another more sophisticated technique uses video calls. This includes a ‘managed’ email address of a top-ranking official sending ‘urgent’ online meeting requests to its employees, mostly in the finance department.
A continuación, los participantes ven una imagen sin audio (o con un audio falso) con la afirmación de que la conexión no funciona como se esperaba.
Subsequently, the ‘business executive’ asks to initiate a wire transfer to unknown bank accounts, from where the money gets siphoned off via other channels (read cryptocurrencies) after a successful fraud.
TIPO 3
Esta es una variación del Tipo 1, pero se dirige a los socios comerciales y no a los empleados, obteniendo un nombre, fraude de facturas, más adecuado a su modus operandi.
En este caso, el cliente de una organización recibe un correo electrónico para pagar una factura a cuentas bancarias específicas con urgencia.
This one has the highest success rate as it’s normally pulled off using a hacked company email address. And since email is the way, sometimes exclusively, professionals communicate, it results in huge financial and reputation losses to the target organization.
¿Cómo verificar el fraude del CEO?
Como empleado, es difícil rechazar una solicitud de su propio director general. Esta psique es la causa principal de que los perpetradores tengan éxito fácilmente con solo un correo electrónico aleatorio.
Además de cuestionar las solicitudes financieras, es mejor solicitar una reunión por video antes de "cooperar".
Además, en la mayoría de los casos, solo necesita verificar la dirección de correo electrónico cuidadosamente. Es posible que no pertenezca a su organización o que tenga versiones mal escritas del nombre de la empresa.
Además, una institución no puede registrar todas las extensiones de dominio. Por lo tanto, debe tener cuidado de recibir un correo electrónico de xyz@empresa.net cuando la dirección oficial debe ser xyz@empresa.com.
Lastly, you might be receiving emails from a company address operated from ‘outside’ or a rogue internal member. The key to such a situation is verbal confirmation or keeping multiple executives in the loop before making any payments.
Y la forma más efectiva de proteger su organización, si lidera una, es incorporar la simulación de phishing en la capacitación de rutina de los empleados. Porque estos estafadores evolucionan constantemente. Por lo tanto, dar una única advertencia no ayudará mucho a sus empleados.
¡Terminando!
Unfortunately, we depend heavily on correos comerciales, dejando grandes lagunas que los delincuentes suelen explotar.
While there isn’t a substitute for this form of communication yet, we can add business partners on applications such as Slack or even WhatsApp. This will help quickly confirm if anything seems suspicious and avoid such setbacks.
PD: Si yo fuera tú, no me perdería este artículo que cubre tipos de delitos cibernéticos para alfabetización adicional en Internet.
