Ya hemos comentado en otras entradas del blog sobre todo tipo de pruebas de ingeniería social y cómo prevenirlas. Además, sabemos que la prueba que mejores resultados da por excelencia y que nunca ha dejado de estar en auge es el phishing.
En este contexto, vamos a hablar en el presente artículo de una prueba que está muy de moda y es conocida como “La estafa del CEO” a través de la cual se recibe un correo electrónico haciéndose pasar por el CEO de la compañía con un aspecto similar a la siguiente imagen (divulgada por la policía nacional para prevenir este tipo de estafas):
Suele ir dirigida a altos mandos de empresas de la parte financiera o, en un contexto de empresa más pequeña, a las personas que puedan controlar la administración o contabilidad de las organizaciones.
El correo electrónico que se recibe da bastante confianza a la persona, ya que suele producirse después de una investigación previa de la compañía y, en el mismo, a la víctima se la llama por su nombre dándole una orden directa haciéndose pasar por el CEO de la compañía o por alguna persona con cargo alto en el organigrama.
En el ejemplo de la imagen, si el usuario no comprueba nada, contestará con el saldo de las cuentas y esperará instrucciones. A continuación, dependiendo de su contenido, el atacante ordenará la transferencia y la víctima realizará la operación o ¿alguien osa contradecir al jefe en una operación tan importantísima para la compañía?
Este tipo de estafa lleva muchos años produciéndose y ha tenido en ocasiones picos muy grandes de ataques dirigidos hacia compañías (como en el primer trimestre del presente año en el que se realizaron una gran cantidad de ataques dirigidos en este sentido), produciendo pérdidas millonarias en mucho de los casos.
Para no caer en este tipo de estafa hay que estar concienciados y desconfiar por defecto de este tipo de mails. En estos casos es mejor molestar al CEO de la compañía con una llamada para comprobar la veracidad de ese mail que realizar una transferencia “urgente” que pueda suponer pérdidas para la empresa.
Por esta estafa, y otras que hemos comentado en otras ocasiones, es importantísimo que las organizaciones tengan un plan de concienciación de todos sus empleados para que los mismos puedan conocer cómo desconfiar por defecto de este tipo de situaciones y tengan presente la seguridad de la información en su día a día.
Desde Áudea, realizamos este tipo de trabajos de concienciación desde hace años intercalando cursos, pruebas de ingeniería social, píldoras, viñetas, talleres y un largo etcétera que puedes ver aquí https://www.es-ciber.com/concienciacion/
Fernando Saavedra
Cybersecurity Manager
Áudea Seguridad de la Información