Fraude del CEO

Desde el servicio de respuesta a incidentes de CERTSI, se está detectando un número creciente de casos del timo conocido como «estafa del CEO».

Este timo, consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa.

Este timo, consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa.

En este mensaje le pide ayuda para una operación financiera confidencial y urgente. Si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe y picar en el engaño. Este tipo de engaños se conoce como whaling por tratarse de phishing dirigido a «peces gordos».

Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más dificil de detectar.

De no darse cuenta del engaño, podría desvelar datos confidenciales como el saldo de la cuenta al que seguiría una petición para que haga alguna transferencia urgente.

Los defraudadores aprovechan ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones para que la víctima no tenga la oportunidad de verificar su autenticidad.

En casos más sofisticados pueden previamente haber espiado, mediante un malware espía, los correos electrónicos para imitar el estilo de escritura del jefe. También han podido previamente robar las credenciales de acceso del jefe a su cuenta de correo para enviar el correo desde esta misma cuenta.

Solución:

Este tipo de fraudes utilizan técnicas de ingeniería social. La forma de evitarlos es concienciar a los empleados para reconocerlos y evitarlos, teniendo especial atención si utilizan dispositivos móviles para leer el correo.

También se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir que exijan doble verificación mediante una llamada telefónica al director para asegurarse de la veracidad del mensaje.

Además, para evitar que espíen nuestro correo electrónico y paliar los efectos de una posible infección:

  • Tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
  • Instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
  • Desactivar la vista de correos en html en las cuentas críticas.

 

Fuente INCIBE

 

Desde Asesoría SIC prestamos servicios de asesoría fiscal e informática a autónomos y pymes. Contáctanos.

logo sic

Horario Oficina

  • Télefono 911 570 770
  • Email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
  • Lunes a Viernes de 9:00 a 15:00
  • Lunes a Jueves de 16:00 a 18:00