La publicidad en torno al fraude a los directores generales puede haberse calmado, pero aún no se ha extinguido y sigue siendo una grave amenaza. El fraude al CEO, también conocido como ‘jefe falso’, todavía conduce al robo digital por engaño, y por lo tanto, causa un gran daño económico para muchas compañías.  Un ejemplo es el de una empresa alemana en el distrito rural de Groß-Gerau. Los ciberdelincuentes desconocidos consiguieron robar una suma de 380.000 euros utilizando con éxito el sistema de Fraude al CEO. Sólo en 2016, la cantidad total de pérdidas monetarias en todo el mundo causadas por este método de estafa fue de unos 3.100 millones de dólares. Eso igualó a los beneficios obtenidos por Volkswagen en 2017.

Cifras clave sobre el fraude de los directores generales:

%

Millones de euros al año robados a causa de Fraude al CEO en Alemania entre 2014 y 2017

%

Tasa de éxito en ataques de fraude al CEO según Info Security Magazine

¿Cómo es posible que la tasa de éxito de los ciberdelincuentes siga siendo extraordinariamente alta incluso varios años después de su descubrimiento? En el siguiente texto examinaremos los procedimientos y las sofisticadas técnicas de fraude de los infractores para entender mejor el éxito de la estafa.

La planificación perfecta: La etapa preparatoria del fraude al CEO

El Fraude al CEO suele estar dirigido a una sola persona. En la mayoría de los casos, un empleado del departamento de contabilidad con autoridad directa para ejecutar transferencias bancarias. Para ejecutar la estafa y hacer que parezca lo más real posible, se necesita una preparación extraordinariamente buena al comienzo de la estafa. La palabra mágica aquí es Ingeniería Social. La ingeniería social significa que los delincuentes cibernéticos tratan de reunir la mayor cantidad de información posible sobre su víctima. Encuentran esta información en las redes sociales como: Facebook, LinkedIn o Instagram. La mayoría de las veces es fácil adquirir información personal como el cargo, el lugar de trabajo o incluso el organigrama completo de una empresa.

 

La etapa ofensiva del fraude de los directores ejecutivos

Si el chantajista ha reunido suficiente información sobre su objetivo, comienza el primer contacto y la fase ofensiva de Fraude al CEO. Los delincuentes deben ahora lograr una cierta familiaridad con el tema del que se trata. Lo hacen refiriéndose a temas actuales de la empresa a través su correo corporativo. Este tema podría ser una próxima adquisición o las últimas cifras de ventas que pueden ser obtenidas de comunicados de prensa anteriores.

Para finalizar la estafa, algunos ciberdelincuentes crean una dirección de correo electrónico que es similar a la del CEO. En este sentido, uno de los trucos es reemplazar ciertas letras por otras que se parecen extraordinariamente. Por ejemplo, la letra” L” en mueller@examplecompany puede sustituirse fácilmente por una I mayúscula. Para cualquier persona, esta estafa, también conocida como Spoofing, sólo puede reconocerse mediante un examen minucioso.

Otro truco utilizado por los ciberdelincuentes es el uso de un email existente. Por ejemplo, si el delincuente sabe con qué persona se comunica habitualmente el director general de una empresa y qué temas se tratan, el autor puede falsificar dicha comunicación. Los logotipos y las firmas de correo electrónico falsos completan la imagen de una comunicación por email completamente legítima

Es en el propio correo electrónico donde los ciberdelincuentes utilizan sus artimañas de trucos psicológicos para iniciar las transacciones que desean. A menudo, los delincuentes pretenden necesitar una transferencia de dinero que debe ser enviada lo antes posible porque un acuerdo importante y secreto podría fallar. Se exige discreción y el sujeto no informa a otros colegas sobre este asunto que podría poner fin a la estafa.

 

¿Qué explica el éxito de la estafa?

 

En la mayoría de los ataques cibernéticos, los empleados son el mayor factor de riesgo. La Oficina Federal de Seguridad e Informática (en alemán: Bundesamt für Sicherheit und Informationstechnik, abreviado: BSI) ha advertido previamente al público sobre el tratamiento descuidado de los datos personales. Sin embargo, las empresas contribuyen a ello publicando una multitud de información en las redes sociales con fines de marketing. Así, los delincuentes tienen poca dificultad para acumular una cantidad sustancial de información que ayuda al éxito de su estafa.

Otro factor crucial de la estafa es el componente psicológico. Los ciberdelincuentes explotan específica y descaradamente emociones como el respeto y la confianza hacia un gerente o propietario de una empresa para manipular a sus víctimas.

 

 

¿Cómo protejo a mi empresa del fraude al CEO?

 

Un sano escepticismo y la educación adecuada son los elementos esenciales en la batalla contra el fraude al CEO. Desde la perspectiva de una empresa, tiene sentido formar a los empleados sobre amenazas cibernéticas. De esta manera, los trucos de los estafadores como las firmas falsas pueden ser claramente identificables.

Además, el uso de un servicio de encriptación de correo electrónico proporciona alivio, ya que una firma falsa o que falta atrae automáticamente la atención. Para aquellos que no están seguros a pesar de todas estas medidas de precaución, es útil asegurarse a través de una llamada telefónica al supuesto remitente del correo electrónico. Esto requiere una pequeña inversión de tiempo y puede evitar que se produzca una posible estafa.

Mientras tanto, existen instrumentos y métodos para disuadir de estos correos electrónicos fraudulentos que terminan en las bandejas de entrada de los empleados. Los servicios de seguridad gestionados, como el Advanced Threat Protection (ATP)  de Spamina, son capaces de ver a través de complejos patrones de ataque como Fraude al CEO y bloquearlo en primera línea utilizando sofisticados sistemas forenses. Una vez que se detecta un ataque, ATP envía una notificación automática al personal de seguridad responsable de frustrar dicho ataque. El resultado es que las estafas de Fraude al CEO entre otras, carezcan de éxito y sus empleados puedan centrar toda su atención, de nuevo, en su trabajo diario.

 

Información adicional: