El fraude del CEO es una estafa que se realiza a través correo electrónico. Los ataques del fraude de CEO son versiones de phishing que usan la autoridad del CEO de una empresa para lograr su objetivo.

Al hacerse pasar por un CEO, el atacante envía un correo electrónico falso a un empleado (generalmente del departamento de finanzas), generalmente exigiendo al empleado que haga un depósito en la cuenta bancaria del pirata informático. Para minimizar el escepticismo y que el empleado no tenga tiempo de consultarlo, el atacante creará una sensación de urgencia en el correo electrónico falso.

La razón por la que los ataques de fraude de CEO se consideran tan peligrosos se debe al hecho de que el atacante confía en la autoridad del CEO para engañar a sus empleados para que transfieran dinero a su cuenta o proporcionen datos extremadamente sensibles.

Un correo electrónico del director ejecutivo sin duda llamará la atención de los empleados y la mayoría de los empleados no cuestionarían la orden del director general. Esto aumenta las posibilidades de que los empleados vean el correo electrónico y cumplan inmediatamente con lo que se les indicó que hicieran.

¿Cómo funciona el fraude del CEO?

Hay dos formas principales que se suelen usar para realizar un ataque del fraude del CEO:

  • Ataque de suplantación de correo electrónico (Email Spoofing)
  • Ataque por compromiso de correo electrónico empresarial (BEC)

¿Qué es un ataque de suplantación de correo?

El email spoofing implica tácticas de suplantación de nombres, en las que el estafador utilizará el nombre del CEO pero con una dirección de correo electrónico diferente. La dirección de correo electrónico utilizada puede ser muy similar al dominio de la empresa. No es suficiente con verificar solamente el campo del nombre al recibir un correo, debemos fijarnos también en el dominio de la cuenta de correo. Puedes ver más información sobre suplantación de identidad en correo aquí.

¿Qué es un ataque por compromiso de correo electrónico empresarial (BEC)?

Un ataque de compromiso por correo electrónico empresarial es cuando el estafador usa el mismo nombre y dirección de correo electrónico del director ejecutivo, pero para la respuesta usa dirección diferente de la dirección del remitente, de esta forma el atacante se asegura de que su respuesta llegue a ellos en lugar de al director general.

Los ataques del fraude del CEO pueden evitar los filtros de correo no deseado o SPAM, ya que son de naturaleza más selectiva en comparación con las campañas de correo masivo. Estos correos electrónicos están escritos por atacantes que suenan convincentes y evitan conversaciones que puedan generar sospechas sobre su identidad. Otro aspecto complicado de estos correos electrónicos es que, a diferencia de los correos electrónicos masivos de phishing, rara vez contienen errores ortográficos o gramaticales.

Además, los atacantes invierten una cantidad considerable de tiempo en obtener información privilegiada sobre la empresa, razón por la cual estas operaciones son principalmente de un solo envío a un trabajador. Los atacantes se dirigen a personas específicas de una empresa y son en su mayoría conscientes de la forma en que se comunican. Estas características combinadas hacen que sea extremadamente difícil para las empresas prevenir el fraude del CEO.

¿Cómo prevenir el fraude del CEO?

Entre los métodos más comunes para intentar lidiar con el fraude del CEO se incluyen:

Educar en temas de seguridad a los miembros de tu equipo

Deberás enseñar a tus empleados lo fácil que es engañar. Para ello hay un serie de pasos:

  1. Verificar si es la dirección de correo electrónico real del director general y no un dominio similar
  2. Se deben preguntar si realmente esperaban tal solicitud.
  3. Deben confirmar la orden recibida por correo con el CEO enviando una copia del mismo al correo del CEO o comunicándose directamente con él.

Tiene que haber un proceso bien diseñado de cómo validar estas solicitudes.

Revisar siempre los números

Como hemos comentado, no es fácil detectar siempre estos correos electrónicos fraudulentos pues pueden parecer 100% legítimos. En realidad, podría provenir hasta del mismo correo electrónico del CEO porque los piratas informáticos hayan hackeado su cuenta. Por tanto, hay que comprobar los números de cuenta a los que hace referencia el correo para realizar la transferencia.

Requerir documentación y / o aprobación verbal para grandes transferencias

Si alguien de tu equipo recibe una solicitud de transferencia bancaria por un monto que parece muy superior a lo normal, ya debe ser un motivo de alerta. Por eso es fundamental instituir una política en la que se requiera documentación para acompañar a todas las transferencias por encima de una cierta cantidad. Para ciertos umbrales, es posible que desees iniciar aprobaciones en persona.

Asociar cada transferencia bancaria con una orden de compra

En la mayoría de las solicitudes de pago de un proveedor, debe haber una orden de compra válida en el sistema de contabilidad. Si una solicitud no coincide con una orden de compra, se puede sospechar y realizar más investigación.

Compra nombres de dominio que sean variaciones del nombre de tu web o empresa

Revisa las variaciones que puedes generar con diferentes letras, por ejemplo si puede haber números que reemplacen letras. Puede haber muchas posibilidades diferentes, y esto no es algo que deba suponer a un costo excesivo. Su equipo de informática debería poder aconsejarte sobre las opciones más probables, podrás comprobar si están disponibles para su registro desde nuestro buscador de dominio:

¡Encuentra tu dominio ideal!

Marcar correos electrónicos de extensiones o palabras similares al original

Como una de las formas más comunes de llevar a cabo el fraude del CEO es usar un dominio con nombre casi idéntico al original, podría ser una letra adicional agregada, o tal vez sea .co en lugar de .com, un número «0» en lugar de una letra «o»…

Deberías poder configurar una regla que cuando recibes un correo electrónico con estas variaciones lo marque como «Sospechoso». Los parámetros deben configurarse para considerar cualquier cosa que sea ligeramente diferente.

Conclusión

El fraude del CEO no va a desaparecer. A medida que los piratas/hackers informáticos se vuelven más inteligentes y utilizan la tecnología para falsificar correos electrónicos, los empleados de todas las organizaciones deberían ser conscientes de estos peligros y saber como evitarlos.

Xavier Idevik - Marketing en DonDominio
Autor

Inicié mi carrera en DonDominio el año 2011 como agente de soporte, creciendo paso a paso hasta llegar a director de marketing en el 2018, cargo que sigo ocupando en la actualidad.

Comentarios