Capturando ballenas: el fraude del CEO
En la actualidad, los ciberdelincuentes no se conforman únicamente con los usuarios “convencionales” de los que pueden obtener “beneficios económicos” pero en pequeñas cantidades, por lo que tienen en el punto de mira a las grandes compañías. Te explicamos en qué consiste el fraude del CEO.
Últimamente, desde los servicios de respuesta a incidentes de INCIBE (CERTSI) están hallando un elevado número de intentos de estafa que involucran, por un lado a los altos cargos de las compañías, desde el nivel gerencial hasta las direcciones de los servicios más importantes, de ahí el nombre del fraude del CEO, y por otro, a aquellos empleados que tienen cierta capacidad tanto de acceder a los información financiera como de realizar transacciones económicas en nombre de la empresa.
El fraude del CEO es relativamente sencillo de realizar. Con la “ingeniería social” como punto clave para el éxito del ataque, básicamente consiste en que uno de los empleados de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente, elemento importante para hacer que el receptor de la tarea tenga poca capacidad de maniobra para pensar en la legitimidad de la solicitud. En este sentido estaremos de acuerdo en que todo empleado al que le llega una solicitud directa de su jefe, no suele cuestionar en demasía la petición. La solicitud puede ser del tipo:
“Hola Mario,
Necesito tu ayuda para una operación financiera confidencial. ¿Puedo contar con tu discreción? Solo debemos comunicarnos por mail.
Necesitamos realizar una transferencia para la nueva adquisición de la aplicación de Desarrollo y quiero que sea una sorpresa para el departamento. Por favor, haz una transferencia al siguiente número de cuenta ESXX-XXXX-XXXXX-XX-XXXXXXXXXX por valor de 15.000,00€. Con el concepto “Pago Aplicación SW Developers”
Muchas gracias y un saludo
Director Geneneral/CEO”
Si el empleado no se diera cuenta de que se trata de un mensaje fraudulento podría responder a su supuesto jefe, o realizar su petición y caer en la trampa. De pasar por alto el engaño, podría desvelar datos confidenciales como el saldo de la cuenta a lo que probablemente seguiría una petición para que haga alguna transferencia urgente.
Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más difícil de detectar.
Este tipo de fraudes se conoce como whaling (captura de ballenas) por tratarse de un tipo phishing (suplantación) dirigido a «peces gordos».
¿Y cómo podemos evitar este tipo de amenazas?
Una de las cosas que hemos de tener en cuenta es que los ciberdelincuentes suelen aprovechar ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones con el objetivo de que el suplantado no tenga la oportunidad de verificar su autenticidad.
En los casos más sofisticados del fraude del CEO podrían previamente haber espiado, mediante una aplicación maliciosa, los correos electrónicos para tratar de imitar el estilo de escritura del jefe e incluso, podrían haber robado las credenciales de acceso del jefe a su cuenta de correo para enviar el mail desde esta misma cuenta.
En cualquiera de estos escenarios del fraude del CEO las recomendaciones pasaría por:
- Realizar una llamada al responsable de esta solicitud para confirmarla y en caso de que no esté disponible, esperar hasta que lo esté
- Si tenemos los conocimientos suficientes, si no se lo podríamos encargar al personal técnico, tratar de analizar la cabecera del correo electrónico para comprobar la dirección del remitente. Mencionar que esto no es infalible ya que desafortunadamente este dato puede ser modificado
- Implementar dentro del plan de seguridad de la empresa, un procedimiento de seguridad que implique a más de una persona para autorizar los pagos, transferencias y cualquier tipo de transacción económica
- Mantener todo el software (sistemas operativos, aplicaciones, etc.) actualizado para evitar posibles virus que puedan aprovechar algún tipo de vulnerabilidad que permita espiar el correo
- Utilizar aplicaciones antimalware que son capaces de identificar falsos remitentes
- En las cuentas más críticas, evitar la visualización de los correos en HTML (como una web) para evitar posibles riesgos
- Aunque en último lugar, pero sin duda la más importante, la necesidad de concienciar y formar a todo el personal de la empresa en relación a este tipo de amenazas y otras con el objetivo de que sean capaces de responder frente a ellas
Mencionar que siempre es posible realizar consultas al Centro de Respuesta de INCIBE (CERTSI) frente a cualquier incidente de seguridad a través de la dirección incidencias@certsi.es
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE