Los estafadores son cada día más creativos con sus estrategias cuando se trata de ataques del fraude del CEO. Este artículo le guiará a través de los trucos más ingeniosos y populares en el arsenal de un hacker.
¿Qué es el fraude del CEO y cómo funcionan los ataques del fraude del CEO?
Las estafas del fraude del CEO son un tipo de ataque de phishing en el que los delincuentes suplantan a un CEO a través del correo electrónico y engañan a los empleados para que transfieran dinero o proporcionen datos confidenciales de la empresa. Las técnicas de ingeniería social se aprovechan de la confianza del destinatario del correo electrónico.
Los ciberdelincuentes suplantan al director general de la empresa o a otros ejecutivos y exigiran a los empleados, normalmente de los departamentos de recursos humanos o de contabilidad, que envíen una transferencia bancaria, que actualicen los datos de la cuenta o que proporcionen información sobre la misma.
El fraude del CEO puede ir desde las estafas con tarjetas regalo hasta el fraude electrónico y supuso un coste de 1.700 millones de dólares para las empresas estadounidenses en 2019.
Los 4 trucos y estrategias más utilizados en el fraude del CEO
Continúe leyendo para descubrir los 4 principales trucos utilizados en los ataques del fraude del CEO.
1. Aplicar presión
Las estafas con tarjetas regalo son algunas de las más frecuentes en el ámbito del spear-phishing. Se han convertido en los favoritos de los hackers porque son fáciles de ejecutar pero difíciles de rastrear y pueden ser muy gratificantes con poco esfuerzo.
Normalmente, el infractor se presenta como un director general y afirma que está en una reunión y que necesita comprar urgentemente tarjetas regalo para un cliente. Normalmente, el pirata informático afirma que las tarjetas regalo son una sorpresa para los empleados, lo cual es una técnica de ingeniería social para manipular a la víctima para que mantenga la solicitud en secreto. Además, debido al carácter urgente de la tarea, el empleado destinatario se apresurará a realizarla sin cuestionar demasiado los detalles.
Piense en la posición de sus empleados. El miedo a no salir adelante y decepcionar a su director general supondría un peso gigantesco sobre sus hombros. Tal vez la presión no sería significativa si fuera Jane de contabilidad quien hiciera la petición, pero si viene directamente del director general, es un gran problema en la mente de sus empleados.
Además, muchas de las víctimas de los ataques del fraude del CEO no tenían previamente ningún contacto con el director general. Esto hace que la víctima sea más vulnerable a la estafa, ya que el correo electrónico malicioso la encuentra desprevenida. Y si la petición es la primera comunicación entre la víctima y el director general, sentirá no sólo presión sino también un fuerte impulso para complacer y satisfacer las expectativas de su jefe.
2. Pretexting e ingeniería social
La mayoría de las víctimas de los ataques del fraude del CEO no están acostumbradas a comunicarse con él. Por lo tanto, no están familiarizadas con el estilo de comunicación del director general y con lo que haría o no haría o diría, lo que otorga al estafador una valiosa ventaja.
El pretexting, una táctica común de ingeniería social, abre una línea de comunicación con la víctima para facilitarle la solicitud. Por desgracia, esto también permite al estafador crear expectativas («no se lo cuentes a nadie; es una sorpresa») y reunir información adicional que le ayude a tener éxito.
A veces, el hacker enviará un correo electrónico al objetivo varias veces para comprobar su progreso en la tarea asignada, asegurándose que nadie más esta al corriente de la transacción y aplicando más presión.
3. Envío de correos electrónicos desde dispositivos móviles
Teniendo en cuenta que los directores generales son personas muy ocupadas, es lógico que se comuniquen principalmente con sus subordinados a través de sus smartphones. Los correos electrónicos de spear-phishing enviados desde un dispositivo móvil crean la impresión de que el director general está fuera de la oficina. Esto beneficia al hacker en más de un sentido.
En primer lugar, crea la ilusión de que el director general necesita ayuda, ya que no está en su despacho y posiblemente no tenga su ordenador portátil a mano. En segundo lugar, da cabida a pequeños errores gramaticales y ortográficos que son perdonables en un dispositivo móvil y si el mensaje se escribe con rapidez.
Por último, y lo más importante, esta técnica aumenta las posibilidades de omitir los detalles del correo electrónico falsificado. Por ejemplo, si el hacker falsifica el nombre del director general pero no el dominio corporativo, es razonable que el empleado piense que el director general se equivocó y envió el correo electrónico desde una dirección personal.
4. Deep fakes (falsificaciones profundas)
Los deep fakes son relativamente nuevos en el panorama del deterioro del correo electrónico empresarial. Sin embargo, se ha demostrado que son muy eficaces cuando se trata de ataques de phishing. Además, ya existen en el mercado herramientas basadas en la inteligencia artificial que los ciberdelincuentes pueden utilizar para imitar la voz de un director general.
Según The Wall Street Journal, en 2019, un director general de una empresa energética británica recibió una llamada del director general de su empresa central alemana, solo que no era su director general. En cambio, se trataba de un pirata informático que imitaba la voz del director general en Alemania con la ayuda de un software deep fake y que solicitaba un pago por transferencia bancaria a un proveedor. El resultado fue un pago de 243.000 dólares al pirata informático, que no tardó en volver a llamar pidiendo más, lo que alertó al director general.
El software de deep fake está al alcance de todos, es eficaz y bastante barato. Pero, por desgracia, las empresas siguen sin tener una respuesta para ello. Según Computer Weekly, el 77% de los responsables de adoptar decisiones en materia de ciberseguridad son conscientes de esta nueva amenaza, pero sólo el 28% de ellos tiene un plan para defenderse de ella.
Combata los ataques del CEO con el ATTACK Simulator
Cuando usted prepara a sus empleados con conocimientos amplios y relevantes sobre cómo detectar las banderas rojas de un ataque de phishing, pueden tomarse su tiempo para examinar con calma la situación y asimilar todos los detalles en los que se puede esconder el diablo, y que de otro modo pasarían desapercibidos.
Para evaluar objetivamente la exposición y la vulnerabilidad de su empresa al fraude del CEO y a cualquier otra forma de phishing, puede utilizar nuestra prueba gratuita de formación en materia de seguridad.
Nuestros simulaciones de phishing realistas expondrán a sus empleados a ataques de phishing prácticos y ficticios.
Elija el programa de formación de concienciación sobre seguridad de ATTACK Simulator para proporcionar a sus empleados los conocimientos de seguridad necesarios y las prácticas de seguridad actualizadas para mantener su empresa a salvo de los estafadores.
Atribución:
Ilustraciones de trabajo de Storyset
Ilustraciones de comunicación de Storyset
Imagen destacada: Foto tecnológica creada por rawpixel.com – www.freepik.com
