Fraude del CEO

Fecha de publicación: 
19/01/2017
Importancia: 
4 - Alta
Recursos afectados: 

Cualquier empleado de una compañía, en especial aquellos que tengan accesos a los recursos económicos y financieros de la empresa.

En general, cualquier persona que esté habilitada para emitir pagos por transferencia a nombre de la empresa o cuente con la información necesaria para realizarlos.

Descripción: 

Desde el servicio de respuesta a incidentes de CERTSI, se está detectando un número creciente de casos del timo conocido como «estafa del CEO».

Este timo, consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.

Si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe y picar en el engaño. Este tipo de engaños se conoce como whaling por tratarse de phishing dirigido a «peces gordos».

Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más dificil de detectar.

De no darse cuenta del engaño, podría desvelar datos confidenciales como el saldo de la cuenta al que seguiría una petición para que haga alguna transferencia urgente.

Los defraudadores aprovechan ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones para que la víctima no tenga la oportunidad de verificar su autenticidad. 

En casos más sofisticados pueden previamente haber espiado, mediante un malware espía, los correos electrónicos para imitar el estilo de escritura del jefe. También han podido previamente robar las credenciales de acceso del jefe a su cuenta de correo para enviar el correo desde esta misma cuenta.

Solución: 

Este tipo de fraudes utilizan técnicas de ingeniería social. La forma de evitarlos es concienciar a los empleados para reconocerlos y evitarlos, teniendo especial atención si utilizan dispositivos móviles para leer el correo. 

También se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir que exijan doble verificación mediante una llamada telefónica al director para asegurarse de la veracidad del mensaje. 

Además, para evitar que espíen nuestro correo electrónico y paliar los efectos de una posible infección:

  • tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
  • instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
  • desactivar la vista de correos en html en las cuentas críticas.

Para evitar ser objeto de phishing

  • Si dudamos del remitente:
    • Comprobaremos de quién es ese dominio (lo que va detrás de la @) en Whois. También podremos comprobar si esa URL aloja algún malware utilizando el servicio gratuito de análisis de URL de Virustotal.
    • En caso de que el correo electrónico no sea visible, analizaremos los detalles de la cabecera del mensaje (aquí puedes ver cómo ver las cabeceras en distintos clientes de correo y cómo entenderlas) para comprobar la dirección de correo del remitente, aunque este dato no es del todo fiable, pues podrían estar suplantándolo.
  • Si el mensaje tiene adjuntos sospechosos:
    • Tendremos habilitada la opción que permite mostrar la extensión de los archivos en el sistema operativo (en Windows10, o en OSX).
    • Si dudamos de un archivo que hemos descargado podemos comprobar, antes de ejecutarlo, si contiene malware en la web de Virustotal.
    • Deshabilitaremos las macros en Microsoft Office. Esta es la forma de hacerlo  en Mac OSx y en Windows.
    • Para impedir la ejecución de archivos ejecutables a los usuarios, se pueden utilizar aplicaciones de lista blanca como AppLocker.
  • Si el mensaje nos invita a hacer clic en enlaces:
    • Ante la mínima sospecha copiaremos el link y lo analizaremos en Virustotal o en otra página similar.
    • Los enlaces acortados pueden esconder sorpresas desagradables  pues a priori no podemos saber dónde nos llevarán. Una opción es copiarlos en http://unshorten.it/ para extenderlos antes de hacer clic en ellos.
Detalle: 

Un empleado de alto rango del departamento financiero recibe un mensaje, supuestamente de su jefe. En este mensaje le pide ayuda para una operación financiera confidencial y urgente. Por ejemplo:

Fraude del CEO mensaje tipo1

O del tipo:

Fraude del Ceo Mensaje tipo 2

En ambos casos este empleado puede darse cuenta de que aunque el nombre de su jefe si coincide, la dirección de correo desde dónde la envían no es la habitual. Esto se hace algo más complicado de detectar en el caso de que veamos el correo desde el dispositivo móvil ya que solo muestra el nombre del remitente y no se visualiza la dirección de correo, salvo que hagamos clic sobre el nombre del remitente.

Los nombres de los directivos de las empresas son de dominio público, aparecen en la prensa, en la página web, en congresos, etc. En este caso el fraude no es muy elaborado pues sólo han cambiado el nombre y no el correo electrónico. Podría ser que intentaran también suplantar la dirección de correo con alguna de tipografía similar (cambiando alguna letra en el dominio o en el nombre por ejemplo: en lugar de pepe.perez@incibe.es, pepe.perez@icibe.es).

También es frecuente que incluyan datos personales o simulen el estilo de redacción del jefe suplantado si con anterioridad han podido espiar los correos electrónicos de la empresa.

Si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe. Por ejemplo:

Fraude del CEO respuesta empleado

         

En este caso el defraudador intentaría conseguir más datos o incluso pedir alguna transferencia:

Fraude del CEO respuesta fraude

De picar en el engaño podría desvelar datos confidenciales como el saldo de la cuenta al que seguiría una petición para que haga alguna transferencia urgente. En este caso la excusa es la adquisición de una empresa pero pueden darse otros casos, siempre con las características de «urgencia y confidencialidad» como podrían ser solucionar algún problema fiscal o evitar alguna sanción.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe   y Facebook “protegetuempresa”. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.