Phishing – El fraude del “CEO”

Las campañas de phishing se están volviendo cada vez más sofisticadas y personalizadas, con el fin de engañar incluso a los usuarios más avispados. Los trucos psicológicos en los que se basan estas campañas siguen estando relacionados con el miedo y un problema de seguridad que afecta a la cuenta del usuario, la codicia (la notificación de un premio falso), la compasión mediante una campaña de donación ante un desastre, etc.

Existen varios tipos de phishing:

  • Email phishing
  • Vishing (Voice phishing)
  • Smishing (SMS phishing)
  • Social media phishing
  • Business Email Compromise (BEC) - El fraude del CEO

 

Y: ¿Qué es el BEC (Business Email Compromise) scam o el “fraude del CEO”?

Los ciberdelincuentes acceden a datos de directivos que viajan con frecuencia, que se conectan a redes Wi-fi públicas y/o publican datos personales en redes sociales como LinkedIn o Facebook.

“Modus operandi”: Envío de mensajes personalizados dirigidos supuestamente en nombre del CEO (e-mail scam) a otros empleados de la empresa con peticiones urgentes de “última hora” antes de tomar un vuelo, para realizar un pago a un proveedor o revelar información sensible de la empresa.

  • También se pueden interceptar correos legítimos y modificar datos como el número de cuenta para realizar el pago de una factura.

Esquema de un ataque de tipo “BEC scam”:

  • Se compromete la cuenta de correo electrónico de un directivo, mediante malware o ingeniería social.
  • El ciberestafador se dedicar a recopilar información sobre la organización y el directivo en cuestión, busca los horarios de viaje y lee otros correos electrónicos profesionales a través de la cuenta comprometida, para obtener datos de operaciones reales, planes de negocio y proveedores.
  • Un empleado de la empresa recibe una orden de transferencia de fondos por correo electrónico, supuestamente remitido por el directivo cuya cuenta ha sido comprometida. Se suele enviar además en el momento más oportuno, cuando el directivo se encuentra a punto de tomar un vuelo internacional.
  • El empleado, creyendo que el correo electrónico es legítimo, transfiere los fondos a los criminales.

¿Cómo evitamos el “fraude del CEO”

  • Sensibilización de directivos para reforzar su seguridad: no revelar información sensible en redes sociales, no conectarse a redes Wi-Fi públicas, limitar la instalación de apps en smartphones, etc.
  • Formación de empleados susceptibles de recibir este tipo de correos.
  • Reforzar los procedimientos internos para realizar comprobaciones adicionales antes de ordenar pagos (“Payment Verification Procedures”) o revelar información sensible.
  • Utilizar correos con firma electrónica y certificados digitales.
  • Estándares de autenticación de e-mails como Domain-based Message Authentication, Reporting & Conformance (DMARC), Sender Policy Framework (SPF) o DomainKeys Identified Mail (DKIM): permiten evitar ciertos casos de e-mail spoofing

Extraído del seminario “Ciberseguridad , impartido por Alvaro Gómez para INTRAS

Visto 337 veces

Artículos relacionados

 

Es un newsletter digital, mensual y gratuito publicado de forma exclusiva para los participantes de los programas abiertos de INTRAS, así como a clientes, relacionados o empresas vinculadas a la firma. En este son publicados interesantes artículos, tips, definiciones, videos y reportajes con temas de vanguardia y herramientas concretas del mundo corporativo nacional e internacional, extraídos de los seminarios que son realizados por INTRAS.