Te envía un e-mail tu jefe, un Whatsapp, o te llama telefónicamente, solicitando que tramites inmediatamente una transferencia urgente para cerrar una operación crítica en la empresa ¿qué harías? en principio está claro, obedecer y cuánto antes, pero ojo, porque puedes estar siendo víctima del llamado fraude del CEO, que está teniendo un repunte tal y como se indica en el último informe sobre ciberseguridad del CNN-CERT del que hablamos en: https://ciberseguridadtotal.com/informe-ccn-cert-ciberamenazas-y-tendencias-2020/
El fraude del CEO no es un intento dirigido a cualquiera, las víctimas son empleados del departamento financiero, o de nivel alto en la empresa, con acceso a emitir pagos o transferencias, y todo alrededor de la estafa está en general muy currado.
La metodología es sencilla, los ladrones intentan hacerse pasar por el CEO o Director de la empresa, contactan con el empleado responsable del ámbito financiero, y le solicitan tramitar una transferencia urgentemente, a cuentas normalmente en el extranjero que luego son imposibles de rastrear, y cuyo dinero en general, ya no se recupera.
Todo lo anterior además se adorna, es un ataque dirigido y aprovechan situaciones o herramientas de engaño como las siguientes:
- Los ataques se realizan cuando el CEO no está disponible en la empresa, ya sea porque está de vacaciones, de viaje de negocios o similar, de modo que el empleado no tenga opción de tratar de hablar en persona ante esta situación particular.
- Suelen disponer de información privada de la empresa, por ejemplo, conocen que se está cerrando una operación, y la utilizan como anzuelo para solicitar el pago, conocen el Banco donde residen la cuentas de la empresa… También es posible hayan hecho acopio de datos del empleado o del CEO personales, que ayuden al engaño.
- Es habitual incluso, que previamente los atacantes hayan logrado comprometer la seguridad de la empresa, a través de alguna técnica de malware o phishing, obteniendo datos que luego utilizan en el ataque, por ejemplo el estilo de redacción y palabras habituales de los correos electrónicos del CEO y similar.
- Tratan de engañar con el medio de comunicación utilizado, si es a través de e-mail, redactan desde dominios muy parecidos: ej. una dirección real del tipo logindirector@empresa.com, la camuflan con algo similar a logindirector@empresa.co, si el fraude es telefónico o por whatsapp, pueden desde robar el smartphone del CEO, a poner excusas del tipo no tengo batería, estoy en el aeropuerto, no me coge cobertura en el extranjero…etc… Es posible incluso que lleguen a manipular la voz a través de técnicas de deepfakes avanzadas.
Se da la circunstancia además, que muchos de estos fraudes no se hacen públicos, las empresas, normalmente de un tamaño mediano-grande, suelen guardar silencio para no comprometer su reputación.
Lo peor de todo, es que el éxito de este tipo de ataques está haciendo que no sólo se dirijan a grandes empresas, sino también a pequeñas, y con unas estrategias adaptadas a este entorno, por ejemplo la solicitud de transferencia en lugar del director puede venir de un compañero del departamento financiero, y las cantidades son menores para no llamar la atención.
Como curiosidad, en el salón de la fama en España de este tipo de fraudes, destaca el engaño en 2019, a la jefa de Administración de la Empresa Nacional de Transportes (EMT) de Valencia, que durante 20 días realizó transferencia a Hong Kong ( hasta llegar a los 4 millones de euros) en una rocambolesca historia.
