¿Cuáles son las etapas del proceso de lavado de dinero y cómo funcionan?

por Gergo Varga
Según una encuesta mundial, el 65% de las organizaciones experimentan al menos un ataque de spear-phishing cada año y un método cada vez más popular se conoce como estafa del CEO o fraude del CEO.
Echemos un vistazo más de cerca a lo que esto implica y cómo puedes ayudar a tus empleados, y a ti mismo, a prevenirlo.
En palabras sencillas, el fraude del CEO es un ataque de ingeniería social en el que un delincuente se hace pasar por el CEO de una empresa y se acerca a los empleados en un intento de obtener dinero, información o acceso a sus sistemas.
De hecho, ni siquiera tiene que ser el CEO en particular. Cualquier miembro de la alta dirección de una empresa es presa fácil para estos defraudadores: el director financiero, por ejemplo, o el director de operaciones.
Lo que lo convierte en un ataque de ingeniería social es el hecho de que el defraudador asume la identidad de una persona de autoridad que la víctima haría todo lo posible por no decepcionar o incluso cuestionar, y esta es exactamente la razón por la que puede ser tan efectivo.
Debido a que generalmente se dirige a empleados individuales específicos, después de haber recopilado cierta información sobre ellos, también se dice que el fraude del CEO constituye un tipo de ataque de phishing selectivo. Sin embargo, debemos tener en cuenta que algunos aclararían que técnicamente solo se trata de phishing selectivo cuando se realiza a través de medios de phishing.
Sin importar los parámetros individuales, en el fondo, una estafa del CEO es cuando alguien asume la identidad de un funcionario de alto rango en una empresa, para que pueda acceder más fácilmente a fondos, datos o instalaciones físicas.
El fraude del CEO es un tipo de ataque de nicho, pero se está volviendo cada vez más común en todo el mundo.
Además, las nuevas tendencias de trabajo remoto e híbrido significan una menor proximidad física entre los empleados y pueden dar como resultado que cada vez menos empleados tengan alguna interacción con la alta dirección, lo que se convierte en un terreno más fértil para el tipo de fraude del CEO.
UK Finance es una de las organizaciones que ha estado rastreando la frecuencia de este tipo de ataques en los últimos años. Solo en el Reino Unido, hubo 603 incidentes de estafas del CEO en 2018, 676 en 2019, 837 en 2020 y 207 en la primera mitad de 2021.
Sus hallazgos también son indicativos de cuánto pueden perder las empresas con ataques exitosos, así como de lo difícil que es recuperar el dinero.
Por ejemplo, en 2020, las empresas del Reino Unido perdieron £10,4/14,06 millones de dólares debido al fraude del CEO. Y las víctimas de estos 837 incidentes separados solo pudieron recuperar el 37,5% de los fondos robados: £3,9/5,27 millones de dólares.
Mientras tanto, según un anuncio de servicio público del FBI, los ataques de compromiso de correo electrónico empresarial, incluidos algunos ataques de fraude del CEO, fueron un negocio de $5.3 mil millones en el 2017, una cifra que se estima ha aumentado.
Los mecanismos de fraude del CEO siempre implican convencer a los empleados de una empresa de que el defraudador es «el jefe», el CEO o alguien de igual rango. Hay varias formas de intentar hacerlo.
El defraudador también intentará crear una sensación de urgencia, de modo que la víctima no tenga tiempo para detenerse y pensar, verificar con otros miembros del equipo, buscar el correo electrónico real del CEO, etc.
Por lo general, el mensaje del CEO falso irá acompañado de una solicitud de transferencia de efectivo de las cuentas de la empresa a una cuenta supuestamente nueva, con la que el empleado no está familiarizado, pero también puede solicitar información confidencial, secretos de la compañía, contraseñas, o incluso el acceso físico a las instalaciones.
Dependiendo de cómo se lleve a cabo, el fraude del CEO puede ser más o menos riesgoso para el atacante.
Los trucos y la tecnología empleados por los malos actores para llevar a cabo el fraude del CEO incluyen:
Ahora veamos diferentes modos de ataque de los defraudadores que llevan a cabo los fraudes del CEO.
En diciembre del 2021, uno de los propios empleados de SEON fue abordado por un defraudador que se hizo pasar por el director general de SEON, ¡Tamas Kadar!
Un empleado de SEON recibió un mensaje SMS de un número nuevo. Decía ser de Tamas.
Cuando el empleado respondió, el estafador le pidió que comprara unas tarjetas de regalo y le enviase los códigos “para una presentación” “en una conferencia” en la que decía estar.
Si nuestro miembro del equipo hubiera hecho esto, el defraudador lo hubiera estafado a través de tarjetas de regalo, que son mucho más difíciles de rastrear y recuperar en comparación con una tarjeta de crédito o débito normal.
Pero olía a gato encerrado…
Alertó al equipo e incluso utilizamos nuestra búsqueda de teléfonos de SEON para averiguar el nombre del defraudador propietario de este número.
¡Tamas también envió un breve aviso al equipo!
Defraudadores, aplaudimos su ambición, pero ¿realmente pensaron que una empresa de lucha contra el fraude caería alguna vez en la estafa del CEO?
Hola Paula,
Estoy en una reunión con nuestro proveedor Westgate y dicen que estamos muy atrasados con un par de facturas de hace dos meses. ¿Por qué pasó esto? ¡Son uno de nuestros mejores clientes! Están furiosos.
Dije que estábamos experimentando problemas de software, pero no están contentos en absoluto. Están amenazando con dejarnos. Por favor, si todavía estás en la oficina, haz la transferencia ahora y veré qué sucedió a primera hora del lunes. Necesitan ver el pago de inmediato para que pueda calmarlos.
Su nueva cuenta es XXXXXXX. ¡Gracias Paula, eres una salvación! ¡No olvidaré esto!”
Los anteriores son ejemplos muy típicos que involucran algunos de los aspectos más comunes del fraude del CEO:
Sin embargo, debemos tener en cuenta que no siempre se ve así. Existen diferentes técnicas, y los defraudadores siempre están probando nuevos métodos también.
Por ejemplo, es posible que logren obtener acceso a la bandeja de entrada del correo electrónico del CEO y se comuniquen contigo desde allí, o incluso pueden utilizar un deepfake de la voz del CEO para volverse aún más convincentes.
Otro ejemplo del mundo real es la compañía de cine francesa Pathé, que perdió 21 millones de dólares debido al fraude del CEO en 2018. El director general y el director de finanzas fueron despedidos también por el escándalo subsiguiente.
En la mayoría de los casos, las empresas no están obligadas a divulgar esta información y les gusta mantenerla en un nivel bajo para no parecer poco confiables o incluso atraer a más defraudadores, por lo que es importante mantenerse alerta, utilizar las herramientas adecuadas y capacitar a los empleados sobre cómo lidiar con ellos.
La prevención y mitigación eficientes del fraude del CEO requieren los esfuerzos combinados de los empleados y el departamento de ciberseguridad o TI. Veamos la capacitación del personal y el software por separado.
Al igual que con todos los ataques de ingeniería social y adyacentes a la ingeniería social, también es importante entrenar al personal, que es tu mejor línea de defensa. Si ningún empleado cae en la trampa, el ataque de fraude del CEO siempre fallará.
Como dicen, eres tan fuerte como tu eslabón más débil y aquí este eslabón es tu empleado menos cuidadoso y/o informado.
Las reglas generales más citadas incluyen:
También conocido como compromiso de la cuenta de correo electrónico, los términos BEC y EAC se utilizan a menudo indistintamente con el fraude del CEO, aunque técnicamente puede haber algunas pequeñas diferencias. También es la terminología preferida por el FBI, por lo que la verás a menudo.
Sin duda, sigue siendo un medio popular de ataque contra las empresas, sus fondos y sus datos internos. Con la nueva tecnología de fraude, los métodos de estafa del CEO evolucionan, pero la idea central y los objetivos son similares.
La mayoría de las veces, dinero: en el fraude de transferencias bancarias, tarjetas de regalo o incluso información de tarjetas de crédito de la empresa. Pero también podrían estar tratando de obtener información comercial para venderla a la competencia, o acceder a tus sistemas de información para luego llevar a cabo otras actividades.
El módulo de enriquecimiento de datos de SEON se puede configurar para buscar direcciones de correo electrónico y números de teléfono automáticamente. Los empleados también pueden realizar búsquedas manualmente. Mientras tanto, nuestro análisis de huellas digitales, IP y otros modos de análisis también ayudarán a atrapar a los defraudadores que se hacen pasar por altos directivos.
Solicita una llamada con uno de los miembros de nuestro equipo de atención al cliente para que podamos hablar sobre cómo abordar tus inquietudes particulares.
Fuentes
Mostrando todos los con `` etiqueta
Haz clic aquí
Gergo Varga es el Evangelista de Producto de SEON. Con más de 10 años de experiencia en el ámbito de la gestión de riesgo húngara e internacional, ha desarrollado un conocimiento astuto de Operación de Riesgo e Inteligencia de Código Abierto. Es el autor de la Guía de prevención de fraude para principiantes de SEON.
Las mejores historias del mes directamente en tu bandeja de entrada