¿Qué es la estafa del CEO y qué armas tiene?

Estafa CEO
Este engaño, también conocido como whaling por tratarse de phishing dirigido a «peces gordos», basa su funcionamiento en enviar un correo fraudulento a algún empleado de alto rango, contable o con capacidad de acceso a datos sensibles, información personal o bancaria, haciéndole ver que el remitente es el CEO.

Comparte esta entrada

El éxito de las contramedidas desarrolladas por fabricantes de software y hardware en materia de ciberseguridad, hace que los ciberdelincuentes estén continuamente desarrollando nuevas técnicas de intrusión que les permitan burlar las barreras defensivas.

La última novedad consiste en saltarse los filtros de spam de las bandejas de entrada de correo electrónico, haciéndose pasar por un correo legítimo del CEO de la empresa.

La última novedad consiste en saltarse los filtros de spam de las bandejas de entrada de correo electrónico, haciéndose pasar por un correo legítimo que consiga ganarse fácilmente la confianza del usuario. Una vez en su bandeja de entrada, el camino ya está medio recorrido.

Este engaño, también conocido como whaling por tratarse de phishing dirigido a «peces gordos», basa su funcionamiento en enviar un correo fraudulento a algún empleado de alto rango, contable o con capacidad de acceso a datos sensibles, información personal o bancaria, haciéndole ver que el remitente es el CEO o máximo mandatario de su organización. Este mensaje suele pedir ayuda para realizar una operación financiera confidencial y urgente.

Si la persona que recibe el correo no se diera cuenta, podría desvelar datos confidenciales o hacer alguna transferencia urgente.

¿Cuál es la dinámica?

Los ciberdelincuentes consiguen ocultar enlaces maliciosos mediante canales de entrega considerados seguros. Un nuevo canal que se está empezando a utilizar es Google Drive.

La víctima recibe una notificación enviada desde Google Drive en la que figura un enlace acerca de un documento compartido. Hasta aquí todo es legítimo, y el ciberatacante ya ha logrado superar la barrera del spam; ahora solo queda el último escollo: superar la barrera humana.

Para ello, los ciberdelincuentes redactan un breve mensaje, haciendo uso una vez más de la ingeniería social, en el que explican las razones por las que deberíamos hacer clic en dicho enlace, el cual es deliberadamente lo suficientemente largo como para despistar acerca de su contenido. Los mensajes redactados a menudo suelen contener errores gramaticales o de ortografía, y no suele aparecer la dirección del remitente, solo el supuesto nombre, por lo que conviene prestar atención a todos los detalles.

Si finalmente la víctima cae en la trampa, descargará un archivo que contiene malware o será dirigida a una página maliciosa con el objetivo de robar sus credenciales bancarias.

Por el momento, este tipo de phishing solo está desarrollado en inglés y ruso, pero es cuestión de tiempo que se encuentre disponible también en español, por lo que no debemos bajar la guardia ante este tipo de correos.

Consejos para evitar este tipo de fraudes.

Para las empresas y fabricantes de software supone un verdadero reto filtrar esta clase de amenazas, ya que el origen, como en el caso de nuestra historia, es una fuente fiable como Gmail. Debemos tener en cuenta que la mejor protección es permanecer atento a este tipo de notificaciones que contienen enlaces con campañas o premios o solicitan información personal.

Uno.

No abrir enlaces de desconocidos y desconfiar de campañas comerciales llamativas o de mensajes que solicitan datos personales con la promesa de una encuesta o premio.

Dos.

También podemos añadir la necesidad de verificar que el remitente es conocido y su dirección de correo concuerda con el dominio de su compañía. Un directivo nunca debería emplear una dirección de correo de terceros ajena a la empresa para dar instrucciones o comunicar información a sus empleados.

Tres.

Prestar atención a la ortografía del mensaje, pues la mayor parte de las veces contiene errores gramaticales y ortográficos o se puede apreciar que se trata de traducciones literales.

Cuatro.

Por último, cabe señalar que no se debe descargar archivos adjuntos de fuentes desconocidas por canales no verificados o autorizados por la empresa.

Google ya se encuentra trabajando en una solución de filtrado de spam en su nube. Sin embargo, ninguna solución antispam debe ser considerada 100% eficaz.

Desde Google invitan a reportar los casos sospechosos en sus servicios a la siguiente dirección: https://support.google.com/docs/answer/2463296

Ante este panorama, la concienciación en materia de ciberseguridad de cada usuario es esencial para lograr un entorno de trabajo seguro que no dependa solo de las medidas de seguridad adoptadas en el entorno empresarial.

Para no caer en este y otros tipos de fraudes en Internet es fundamental la prudencia, tanto con la información que se recibe como con la que se comparte a través de las cuentas de correo electrónico o redes sociales.

La medida más importante es difundir una cultura de ciberseguridad.

Por razones como estas hemos creado Zepo, un entrenamiento de ciberseguridad para tu equipo, para que sepa cómo detectar este tipo de amenazas.

¿Quieres saber más?

Contacta con nosotros

Más para explorar

¿Estás listo para empezar?

Vea cómo Zepo puede ayudar a su organización a trabajar protegida.