Según una encuesta mundial, el 65% de las organizaciones experimentan al menos un ataque de spear-phishing cada año y un método cada vez más popular se conoce como estafa del CEO o fraude del CEO.
Echemos un vistazo más de cerca a lo que esto implica y cómo puedes ayudar a tus empleados, y a ti mismo, a prevenirlo.
¿Qué es el fraude del CEO?
En palabras sencillas, el fraude del CEO es un ataque de ingeniería social en el que un delincuente se hace pasar por el CEO de una empresa y se acerca a los empleados en un intento de obtener dinero, información o acceso a sus sistemas.
De hecho, ni siquiera tiene que ser el CEO en particular. Cualquier miembro de la alta dirección de una empresa es presa fácil para estos defraudadores: el director financiero, por ejemplo, o el director de operaciones.
Lo que lo convierte en un ataque de ingeniería social es el hecho de que el defraudador asume la identidad de una persona de autoridad que la víctima haría todo lo posible por no decepcionar o incluso cuestionar, y esta es exactamente la razón por la que puede ser tan efectivo.
Debido a que generalmente se dirige a empleados individuales específicos, después de haber recopilado cierta información sobre ellos, también se dice que el fraude del CEO constituye un tipo de ataque de phishing selectivo. Sin embargo, debemos tener en cuenta que algunos aclararían que técnicamente solo se trata de phishing selectivo cuando se realiza a través de medios de phishing.
Sin importar los parámetros individuales, en el fondo, una estafa del CEO es cuando alguien asume la identidad de un funcionario de alto rango en una empresa, para que pueda acceder más fácilmente a fondos, datos o instalaciones físicas.
¿Qué tan común es el fraude del CEO?
El fraude del CEO es un tipo de ataque de nicho, pero se está volviendo cada vez más común en todo el mundo.
Además, las nuevas tendencias de trabajo remoto e híbrido significan una menor proximidad física entre los empleados y pueden dar como resultado que cada vez menos empleados tengan alguna interacción con la alta dirección, lo que se convierte en un terreno más fértil para el tipo de fraude del CEO.
UK Finance es una de las organizaciones que ha estado rastreando la frecuencia de este tipo de ataques en los últimos años. Solo en el Reino Unido, hubo 603 incidentes de estafas del CEO en 2018, 676 en 2019, 837 en 2020 y 207 en la primera mitad de 2021.
Sus hallazgos también son indicativos de cuánto pueden perder las empresas con ataques exitosos, así como de lo difícil que es recuperar el dinero.
Por ejemplo, en 2020, las empresas del Reino Unido perdieron £10,4/14,06 millones de dólares debido al fraude del CEO. Y las víctimas de estos 837 incidentes separados solo pudieron recuperar el 37,5% de los fondos robados: £3,9/5,27 millones de dólares.
Mientras tanto, según un anuncio de servicio público del FBI, los ataques de compromiso de correo electrónico empresarial, incluidos algunos ataques de fraude del CEO, fueron un negocio de $5.3 mil millones en el 2017, una cifra que se estima ha aumentado.
¿Cómo funciona el fraude del CEO?
Los mecanismos de fraude del CEO siempre implican convencer a los empleados de una empresa de que el defraudador es «el jefe», el CEO o alguien de igual rango. Hay varias formas de intentar hacerlo.
El defraudador también intentará crear una sensación de urgencia, de modo que la víctima no tenga tiempo para detenerse y pensar, verificar con otros miembros del equipo, buscar el correo electrónico real del CEO, etc.
Por lo general, el mensaje del CEO falso irá acompañado de una solicitud de transferencia de efectivo de las cuentas de la empresa a una cuenta supuestamente nueva, con la que el empleado no está familiarizado, pero también puede solicitar información confidencial, secretos de la compañía, contraseñas, o incluso el acceso físico a las instalaciones.
Dependiendo de cómo se lleve a cabo, el fraude del CEO puede ser más o menos riesgoso para el atacante.
Trampas/Técnicas utilizadas durante el fraude del CEO
Los trucos y la tecnología empleados por los malos actores para llevar a cabo el fraude del CEO incluyen:
- Herramientas OSINT: buscarán información sobre la persona que se harán pasar, para parecer más convincentes. LinkedIn es un recurso valioso para ellos, al igual que los sitios web oficiales.
- Suplantación de dominio: a menudo, utilizarán herramientas para hacer que su dirección de correo electrónico y/o mensaje de correo electrónico parezca que se originó dentro de la empresa, aunque no sea así.
- Deepfakes: También es posible utilizar la tecnología de audio deepfake (falsificaciones profundas) para imitar la voz real del CEO, llamando al empleado por teléfono o dejando un mensaje telefónico. Es menos probable que el empleado encuentre esto sospechoso o riesgoso, en comparación con un correo electrónico o mensaje de texto.
- Ingeniería social: trucos como crear una sensación de urgencia, dar un aire de autoridad y aplicar presión para que la víctima actúe sin pensar, y así sea más probable que caiga en la estafa.
- Técnicas de phishing y spear-phishing: las estafas de fraude del CEO toman prestadas varias técnicas y elementos de los ataques de phishing y spear-phishing. En cuanto al spear-phishing, apunta en particular a los empleados de alto rango. Tiende a depender de su objetivo particular: un defraudador que quiere fondos intentará estafar a alguien en finanzas o, si quiere acceder a los sistemas, podría ser un miembro de bajo rango de Control de Sistemas.
- Proxies y/o VPNs: las herramientas de suplantación de ubicación a veces pueden ayudar a que el atacante parezca ante el sistema y/o los empleados como si estuvieran en el edificio, eludiendo algunos controles de seguridad.
- Herramientas de operaciones de seguridad (SecOps): el software y las aplicaciones habituales de la caja de herramientas de los defraudadores, que les ayudan a ocultar su identidad en el mundo real, por su propia seguridad.
Ejemplos de fraudes del CEO
Ahora veamos diferentes modos de ataque de los defraudadores que llevan a cabo los fraudes del CEO.
Un defraudador que se hace pasar por CEO ataca a SEON
En diciembre del 2021, uno de los propios empleados de SEON fue abordado por un defraudador que se hizo pasar por el director general de SEON, ¡Tamas Kadar!
Un empleado de SEON recibió un mensaje SMS de un número nuevo. Decía ser de Tamas.
Cuando el empleado respondió, el estafador le pidió que comprara unas tarjetas de regalo y le enviase los códigos “para una presentación” “en una conferencia” en la que decía estar.
Si nuestro miembro del equipo hubiera hecho esto, el defraudador lo hubiera estafado a través de tarjetas de regalo, que son mucho más difíciles de rastrear y recuperar en comparación con una tarjeta de crédito o débito normal.
Pero olía a gato encerrado…
Alertó al equipo e incluso utilizamos nuestra búsqueda de teléfonos de SEON para averiguar el nombre del defraudador propietario de este número.
¡Tamas también envió un breve aviso al equipo!
Defraudadores, aplaudimos su ambición, pero ¿realmente pensaron que una empresa de lucha contra el fraude caería alguna vez en la estafa del CEO?
El correo urgente, un clásico
- El defraudador crea una dirección de correo electrónico con el nombre del CEO, en un dominio que se parece pero no es idéntico al dominio de la empresa. – p.ej. [email protected] en lugar de [email protected]
- El defraudador envía un correo electrónico a un empleado de bajo rango con acceso a dinero. Dice así:
Hola Paula,
Estoy en una reunión con nuestro proveedor Westgate y dicen que estamos muy atrasados con un par de facturas de hace dos meses. ¿Por qué pasó esto? ¡Son uno de nuestros mejores clientes! Están furiosos.
Dije que estábamos experimentando problemas de software, pero no están contentos en absoluto. Están amenazando con dejarnos. Por favor, si todavía estás en la oficina, haz la transferencia ahora y veré qué sucedió a primera hora del lunes. Necesitan ver el pago de inmediato para que pueda calmarlos.
Su nueva cuenta es XXXXXXX. ¡Gracias Paula, eres una salvación! ¡No olvidaré esto!”
- La empleada, Paula en este caso, se apresura a ayudar. Hace la transferencia en cuestión de minutos, en lugar de revisar las cuentas o pedir más información.
- La transferencia pasa al estafador, que se lleva el dinero.
Otros modos de ataque
Los anteriores son ejemplos muy típicos que involucran algunos de los aspectos más comunes del fraude del CEO:
- crear un sentido de urgencia y riesgo;
- hacer creer a la víctima que está salvando la empresa;
- pedir dinero.
Sin embargo, debemos tener en cuenta que no siempre se ve así. Existen diferentes técnicas, y los defraudadores siempre están probando nuevos métodos también.
Por ejemplo, es posible que logren obtener acceso a la bandeja de entrada del correo electrónico del CEO y se comuniquen contigo desde allí, o incluso pueden utilizar un deepfake de la voz del CEO para volverse aún más convincentes.
Otro ejemplo del mundo real es la compañía de cine francesa Pathé, que perdió 21 millones de dólares debido al fraude del CEO en 2018. El director general y el director de finanzas fueron despedidos también por el escándalo subsiguiente.
En la mayoría de los casos, las empresas no están obligadas a divulgar esta información y les gusta mantenerla en un nivel bajo para no parecer poco confiables o incluso atraer a más defraudadores, por lo que es importante mantenerse alerta, utilizar las herramientas adecuadas y capacitar a los empleados sobre cómo lidiar con ellos.
Cómo prevenir el fraude del CEO
La prevención y mitigación eficientes del fraude del CEO requieren los esfuerzos combinados de los empleados y el departamento de ciberseguridad o TI. Veamos la capacitación del personal y el software por separado.
Herramientas para detectar y detener el fraude del CEO
- Módulos de búsqueda inversa de correo electrónico y teléfono: ya sea que lo estés haciendo manualmente con la extensión del navegador de SEON o enriqueciendo automáticamente la comunicación a través de una API, la búsqueda inversa puede darte información detallada sobre a quién le pertenece una dirección de correo electrónico y número de teléfono, y si parece legítimo. Por ejemplo, es de esperar que el verdadero CEOde tu empresa tenga un cierto nivel de presencia profesional en línea, por ejemplo una cuenta de Twitter y LinkedIn.
- MFA/2FA y biometría: configurar la autenticación multifactor para acceder a la infraestructura digital de la empresa es un buen paso de seguridad básico y significa que las cuentas de correo electrónico reales de la administración estarán más seguras. Sin embargo, ten cuidado, ya que esto no proporciona una certeza completa. Como escribimos en nuestro pronóstico de fraude para 2022, las nuevas técnicas seguramente permitirán a los atacantes interceptar algunas contraseñas de un solo uso y verificaciones biométricas.
- Reputación de IP: dependiendo de tu infraestructura digital, ciertos ataques pueden marcarse o bloquearse automáticamente a través de algoritmos de análisis de IP.
- Verificación de identidad: en función de la forma en que se contactó a la víctima, los algoritmos de verificación pueden analizar las comunicaciones.
- Software de fraude de extremo a extremo: las plataformas antifraude integrales, como la de SEON, tienden a abordar algunos de los modos de ataque de fraude del CEO de forma inmediata. Además, ten en cuenta que otros productos en tu pila tecnológica pueden tener alguna funcionalidad relevante. Por ejemplo, muchos proveedores de correo electrónico agregarán advertencias cada vez que un correo electrónico se origine fuera de tu organización.
Las mejores prácticas para los empleados
Al igual que con todos los ataques de ingeniería social y adyacentes a la ingeniería social, también es importante entrenar al personal, que es tu mejor línea de defensa. Si ningún empleado cae en la trampa, el ataque de fraude del CEO siempre fallará.
Como dicen, eres tan fuerte como tu eslabón más débil y aquí este eslabón es tu empleado menos cuidadoso y/o informado.
Las reglas generales más citadas incluyen:
- Detente y piensa: ¿Esta persona me contactaría a esta hora? ¿Es razonable lo que piden? ¿Por qué me lo están pidiendo a mí y no a alguien más cercano a ellos?
- Verifica su identidad: esto puede ser tan simple como llamar al CEO al número de teléfono registrado en la empresa o consultar con un supervisor.
- Lee atentamente: cuando se comunique contigo a través de un mensaje escrito, observa atentamente el texto y la información del remitente. ¿El dominio es de la empresa? ¿La firma de correo electrónico se ve como se supone que debe verse? Y así sucesivamente.
- Referencia cruzada: intenta hacer una referencia cruzada con la información existente. ¿Hay registros de alguna reunión con este proveedor en el calendario? ¿Alguna factura realmente no se pagó el mes pasado? Etc.
- En caso de duda, pregunta: Plantear una pregunta con el departamento de TI es el mejor modo de acción si algo se siente mal. Mejor aún, pregunta en el chat grupal de tu equipo o empresa, si utilizas uno. Los miembros más veteranos te podrán asesorar. Incluso si se tratara del CEO, la empresa te agradecerá por estar atento y ser cuidadoso.
Preguntas frecuentes
También conocido como compromiso de la cuenta de correo electrónico, los términos BEC y EAC se utilizan a menudo indistintamente con el fraude del CEO, aunque técnicamente puede haber algunas pequeñas diferencias. También es la terminología preferida por el FBI, por lo que la verás a menudo.
Sin duda, sigue siendo un medio popular de ataque contra las empresas, sus fondos y sus datos internos. Con la nueva tecnología de fraude, los métodos de estafa del CEO evolucionan, pero la idea central y los objetivos son similares.
La mayoría de las veces, dinero: en el fraude de transferencias bancarias, tarjetas de regalo o incluso información de tarjetas de crédito de la empresa. Pero también podrían estar tratando de obtener información comercial para venderla a la competencia, o acceder a tus sistemas de información para luego llevar a cabo otras actividades.
El módulo de enriquecimiento de datos de SEON se puede configurar para buscar direcciones de correo electrónico y números de teléfono automáticamente. Los empleados también pueden realizar búsquedas manualmente. Mientras tanto, nuestro análisis de huellas digitales, IP y otros modos de análisis también ayudarán a atrapar a los defraudadores que se hacen pasar por altos directivos.
Solicita una llamada con uno de los miembros de nuestro equipo de atención al cliente para que podamos hablar sobre cómo abordar tus inquietudes particulares.
Fuentes
- Proofpoint: 2021 State of the Phish Report
- Internet Crime Complaint Center: The 5 Billion Dollar Scam
- FBI.gov: Business Emal Compromise
- Variety: Pathe Loses More Than $21 Million in Internet Scam