Los fraudes del CEO: 8 preguntas para ayudar a sus empleados a detectarlos

por | febrero 10, 2022 | Ciberseguridad, Cómo hacerlo

Es comprensible que todo empleado quiera quedar bien ante su jefe y hacer un buen trabajo en general. Pero esto puede llevarlos a caer en una forma excepcional de phishing: el fraude del CEO. Si el jefe necesita que se realice una tarea lo antes posible, es más probable que los empleados actúen de inmediato sin cuestionar los detalles.

Pero el diablo está en los detalles, así que siga leyendo para descubrir cómo su personal puede aprender a detectar todas las banderas rojas del fraude del CEO.

El fraude del CEO utiliza técnicas de ingeniería social para aprovecharse de la confianza de los empleados y de su disponibilidad para completar las tareas sin cuestionar nada cuando el CEO se lo pide.

¿Qué es el fraude del CEO (o del directore general)?

El fraude del CEO es una forma compleja de ataque de phishing que los estafadores utilizan para engañar a los empleados para que transfieran dinero o proporcionen datos confidenciales de la empresa.

Las técnicas de ingeniería social se aprovechan de la confianza del destinatario del correo electrónico. Los atacantes saben cómo engañar a las personas que no comprueban las direcciones de correo electrónico con mucho cuidado o no se dan cuenta de los errores ortográficos.

¿Cómo funciona?

Los ciberdelincuentes se hacen pasar por el director general de la empresa u otros ejecutivos y exigen a los empleados, normalmente de los departamentos de recursos humanos o de contabilidad, que realicen una transferencia bancaria, actualicen los datos de la cuenta o proporcionen información sobre la misma.

Las estafas con tarjetas de regalo están asociadas al fraude del CEO, y son prácticamente imposibles de rastrear una vez que han sido enviadas. Sin embargo, estos ataques de phishing no son necesariamente específicos del CEO. Por ejemplo, los ciberdelincuentes se pueden presentar como un director de recursos humanos. El empleado sospecha aún menos cuando el remitente es alguien inferior en la empresa y más cercano a su rango.

¿A quién se dirige?

Las técnicas de ingeniería social y los trucos utilizados en este tipo particular de estafa de phishing evolucionan y cambian constantemente. En cualquier caso, los estafadores parecen dirigirse principalmente a las siguientes categorías de personas y empresas:

  • Empleados que trabajan regularmente con proveedores y empresas extranjeras.
  • Empresas que envían regularmente transferencias bancarias y electrónicas de fondos.
  • Departamentos de recursos humanos y nóminas.
  • Las personas mayores y las que han hecho compras inmobiliarias recientes.
  • El tamaño de su empresa, el lugar en el que opere o el número de empleados que tenga no influyen en absoluto en su nivel de riesgo de fraude del CEO.

Datos y cifras sobre el fraude del CEO

El fraude del CEO es una estafa de 26.000 billones de dólares, según el FBI y el Internet Crime Complaint Center (IC3). Entre junio de 2016 y julio de 2019, el FBI notificó más de 166.000 informes estadounidenses e internacionales sobre ataques de fraude al CEO.

El Departamento de Justicia reveló ese mismo día que se había detenido a 281 personas y se habían incautado 3,7 millones de dólares en el marco de una ofensiva internacional contra el ciberfraude denominada Operación reWired.

«Al desmontar esta compleja trama de robo de identidad y fraude fiscal a escala nacional, descubrimos que los conspiradores robaron más de 250.000 identidades y presentaron más de 10.000 declaraciones de impuestos fraudulentas, intentando recibir más de 91 millones de dólares en reembolsos», dijo el jefe Don Fort de la Investigación Criminal del IRS.»

Comunicado de prensa del Departamento de Justicia

Un caso famoso fue noticia en Canadá hace dos años, cuando la tesorera de la ciudad de Ottawa fue engañada para transferir más de 100.000 dólares a la cuenta de un estafador que le envió un correo electrónico suplantando al manager de la ciudad.

El FBI destacó que la mejor manera de que las organizaciones se mantengan a salvo del fraude del CEO es educando a sus empleados sobre las ciberamenazas y proporcionándoles una formación continua de concienciación sobre la seguridad.

8 preguntas que deben hacerse sus empleados para evitar el fraude del CEO

Antes de actuar ante cualquier petición urgente del director general o de otros ejecutivos, sus empleados deben plantearse las siguientes preguntas:

  • ¿Me ha pedido alguna vez mi director general que transfiera dinero a una nueva cuenta?
  • ¿Soy la persona adecuada para gestionar este tipo de solicitudes? ¿No debería hacerlo el director financiero o el vicepresidente de recursos humanos?
  • ¿Por qué no puede hacerlo el propio director general? ¿Hay algún problema con nuestra red que impida el acceso de nuestro director general?
  • ¿Es normal este tipo de solicitud? ¿He hecho esto antes?
  • ¿Puedo ponerme en contacto con alguien del proveedor, banco o socio que se menciona en el correo electrónico?
  • ¿Esto no incumple la política de nuestra empresa sobre el intercambio de información de los empleados?
  • ¿Es correcta la dirección de correo electrónico? Cuando pulso Responder – necesito verificar que es una dirección de correo electrónico real de la empresa.
  • ¿Hay un número de teléfono en la firma del correo electrónico? Si es así, llame y compruebe la solicitud con el remitente

Los estafadores suelen utilizar un lenguaje contundente en sus correos electrónicos maliciosos, y el plazo para ejecutar la acción solicitada será breve. A veces, incluso enviarán varios correos electrónicos preguntando cuándo se completará la tarea y haciendo referencia a la importancia y la urgencia de esta acción.

Cómo puede ayudar el ATTACK Simulator

Cuando sus empleados aprenden a reconocer las banderas rojas de un ataque de phishing, pueden tomarse su tiempo para evaluar con calma la situación y examinar todos los detalles en los que se esconde el diablo y que, de otro modo, pasarían desapercibidos. Para evaluar la exposición y la vulnerabilidad de su empresa al fraude de los CEO y a cualquier otra forma de phishing, puede utilizar nuestra prueba gratuita de formación en materia de seguridad.

Nuestros simulaciones de phishing garantizan que sus empleados estarán expuestos a ataques de phishing prácticos y realistas.

Elija el Programa de formación de concienciación sobre seguridad de ATTACK Simulator para mantener su empresa a salvo de los peligros en línea.

Atribución:

Ilustraciones de trabajo de Storyset

Ilustraciones de personas de Storyset

Ilustraciones de marketing de Storyset

Vector abstracto creado por katemangostar – www.freepik.com

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.