CEO Fraud , también conocido como Business Email Compromise (BEC) , es una estafa sofisticada dirigida a empresas de todos los tamaños que aprovechan la ingeniería social. El objetivo final del Fraude del CEO es obtener transferencias de fondos no autorizadas a las cuentas bancarias de los ciberdelincuentes. Se trata de dinero en efectivo y los altos ejecutivos son los objetivos de estas estafas.
Hay 3 métodos principales de ataque:
✔️ Pishing: Suplantación de identidade sin objetivo específico
✔️ Spear Phishing: Una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas
✔️ Whaling o “Caza de Ballenas”: Es un ataque específico dirigido a los “peces gordos” de las empresas, como el director ejecutivo (CEO) o el gerente de finanzas.
El Spear phishing, y el Whaling en particular, se utilizan para llegar al gran trofeo. Los ciberdelincuentes dedicarán una cantidad significativa de tiempo y recursos a recopilar información para elegir el (los) objetivo (s) y espiar. El espionaje consiste esencialmente en recopilar una gran cantidad de información relevante sobre una persona (o varias personas) de interés de múltiples fuentes (página principal corporativa, perfiles de redes sociales, motores de búsqueda, llamadas telefónicas para obtener más información, posiblemente ir al sitio para tomar fotos, etc.). ).
Los ataques de whaling se diferencian del spear phishing, ya que las comunicaciones fraudulentas parecen provenir de una persona de nivel superior. Estos ataques adquieren una apariencia más legítima cuando los ciberdelincuentes investigan cuidadosamente recursos abiertos disponibles, como las redes sociales, para diseñar una estrategia personalizada por cada víctima que desean engañar.
Una de las estrategias podría ser un correo electrónico que pareciera venir de algún gerente de nivel superior y en el que se haga referencias a información que el atacante obtuvo en línea; por ejemplo, podrían ver las fotografías de la fiesta de Navidad de la empresa en las redes sociales y enviar un correo con el siguiente mensaje: “Hola, Pedro, soy Marcos. ¡Estabas bastante ebrio en la fiesta del jueves pasado! Espero que hayas logrado sacar la mancha de cerveza de tu camiseta roja”.
El objetivo es entender mejor la situación laboral del objetivo, compañeros de trabajo, destinos para viajes de negocios, familiares, pasatiempos y más para descubrir vulnerabilidades y hacer que el ataque (el “golpe”) sea creíble y exitoso.
La preparación minuciosa es crucial, porque generalmente un ataque de tipo fraude de CEO tiene solo una posibilidad de éxito. El golpe debe ser exitoso la primera vez y ciberdelincuentes tienen que estar preparados para situaciones imprevistas.
¿Quiénes son las personas objetivo de alto riesgo?
✔️ Gestores financieros
✔️ CEO / altos ejecutivos
.
Esos empleados y ejecutivos corporativos tienen autoridad y acceso a fondos. Por supuesto, hay otros, en particular los gerentes de recursos humanos, que tienen acceso a información valiosa sobre los empleados (números de seguridad social, direcciones, números de teléfono, detalles de salario, contactos de emergencia, posiblemente información sobre salud e impuestos, etc.).
Una exitosa campaña única de BEC puede ser muy lucrativa y producir un promedio de USD150,000, pues es muy probable que un simple correo electrónico con una dirección de correo electrónico “falsificada” de un miembro del equipo legal y una línea de asunto con la amenaza de una demanda haga que incluso un CEO haga clic en cualquier enlace.
En seguridad de TI en general, y en este tipo de fraude en particular, los 3 pilares fundamentales para abordar las amenazas cibernéticas, incluido el fraude de CEO, son:
✔️ Gente
✔️ Procesos
✔️ Herramientas y Tecnología
Es fundamental que las empresas inviertan y desarrollen capacitación en concienciación de seguridad de TI para convertir al personal en “firewalls humanos” : todos nosotros, ya sea que trabajemos para pequeñas empresas, grandes empresas o gobiernos, debemos poder detectar un correo electrónico de phishing a una milla de distancia y ser consciente de los conceptos básicos de seguridad de TI. Igualmente podemos desempeñar un papel en la sensibilización y la educación de nuestros compañeros de trabajo, familiares y amigos.
