Dado el aumento de casos relacionados con el fraude del CEO que se están produciendo en los últimos meses, desde CSIRT-CV lanzamos esta nueva campaña “10 consejos para NO ser víctima de un fraude del CEO” con el objetivo de intentar no caer en esta estafa. Este tipo de engaño consiste en hacer llegar un correo, remitido supuestamente por un superior de la organización, a un empleado o empleada que tenga la posibilidad de realizar transferencias o acceder a datos de cuentas, presionándole para realizar alguna operación financiera e indicándole que es confidencial y urgente.
Con esta campaña se pretende destacar la importancia de concienciar a todos los empleados, tanto de organizaciones públicas como privadas, para no ser víctimas de estos engaños. Los miembros de la organización deberían ser la primera barrera ante estos timos, los cuales cada vez son más difíciles de detectar. Últimamente, los casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles dado el nivel de detalle que presentaban.
El objetivo principal de esta campaña es evitar que se produzcan pérdidas económicas debidas a este delito y sobre todo, que seamos conscientes de los peligros a los que estamos expuestos en nuestro puesto de trabajo.
Síguenos en nuestras RRSS de Facebook y Twitter con los hashtags:
#FraudeCEO #concienciaT
Desde CSIRT-CV os recomendamos seguir los siguientes consejos:
1. El objetivo principal de los ciberdelincuentes que quieren llevar a cabo el Fraude del CEO, son los empleados de las organizaciones que tienen acceso a datos de las cuentas o la potestad de realizar transferencias. Suelen recibir un correo suplantando la identidad de un superior de su organización.
Es muy importante que, si un empleado recibe un e-mail solicitándole una transferencia “urgente”, compruebe el dominio del remitente y se asegure que esa dirección coincide exactamente con la cuenta de correo electrónico (nombre y dominio) que corresponde, puesto que los ciberdelincuentes suelen realizar pequeños cambios que pasan desapercibidos. Hay que fijarse muy bien para detectarlos y evitar caer en este engaño.
2. Las campañas más sofisticadas del Fraude del CEO suelen venir precedidas de una fase de investigación, en la que el atacante recaba información sobre la estructura orgánica y funcional del organismo o la empresa a atacar, con el fin de dirigirse a la persona adecuada.
Previo al correo de la propia estafa, la empresa u organismo pueden haber recibido diferentes correos electrónicos, cartas postales y/o llamadas telefónicas solicitando información sobre personas de contacto, facturas, cobros y contratos, que más adelante serán utilizados para diseñar e hilar la estafa.
Además de basarse en engaños para obtener información veraz, los estafadores también utilizan fuentes públicas como la Plataforma de Contratación del Estado, noticias en prensa o webs oficiales donde se publiquen concursos públicos para conseguir toda la información posible sobre los contratos y organismos relacionados con su víctima.
3. Normalmente, en el Fraude del CEO se solicita por e-mail la realización de transferencias o cobros a la organización, con carácter confidencial y urgente, porque los ciberdelincuentes quieren dar el menor tiempo posible a la víctima para evitar ser descubiertos. Además, los atacantes suelen crear documentos falsificados que incluyen membretes oficiales, firmas escaneadas e incluso firmas digitales falsificadas, que resultan extremadamente creíbles por la persona que es objeto de este engaño. En ocasiones, este tipo de correo electrónico fraudulento también incluye archivos adjuntos. Recuerde, que no se debe abrir ningún archivo adjunto si no conoce al remitente o no espera ningún documento.
4. Si observa alguna anomalía en un correo electrónico, algún detalle que se salga de los procedimientos habituales de su organización y que le haga dudar sobre la veracidad del contenido del e-mail, contacte con el remitente real a través de otro canal (ej. vía telefónica) para comprobar la autenticidad del mensaje. También es necesario disponer de procedimientos robustos, como la exigencia de firma digital o el establecimiento de doble firma para los importes que superen cierta cantidad, ya que siempre resultará más difícil que fructifique un engaño en dos personas que solo en una. La doble verificación es fundamental para evitar el Fraude del CEO.
5. Desconfíe siempre de los correos electrónicos cuyo texto esté mal redactado o con faltas de ortografía. Suelen ser frecuentes en este tipo de ataques. Además, en las campañas de Fraude del CEO se debe evitar pulsar en cualquier enlace presente en el e-mail, así como abrir documentos de procedencia incierta y, sobre todo, nunca se debe enviar las credenciales de acceso (usuario y contraseña) mediante correo electrónico A NADIE.
6. Para evitar caer en el Fraude del CEO hay que prestar siempre especial atención a la sintaxis de los enlaces a páginas web que lleguen por correo electrónico. Una letra puede marcar la diferencia. Tampoco se deben introducir datos personales en páginas web cuyo enlace se haya acortado (cort.as, bit.ly, etc.).
7. En el Fraude del CEO las peticiones no se limitan a solicitar directamente el pago de una cantidad económica, sino que abarcan una amplia casuística:
-
-
Solicitud del cobro de facturas sin pagar.
-
Atender a transacciones económicas “con discreción”, “habiendo depositado mi confianza personal en usted” o exigiendo mantener el secreto por tratarse de “movimientos estratégicos para la organización”.
-
Solicitud de cambio de cuentas bancarias para futuros pagos.
-
Solicitud de cambio de contactos o direcciones de correo que van a gestionar los pagos en adelante.
-
Cambios en la cantidad, alcance o cuantía de servicios contratados.
-
Avisos de cambio de resultados en procesos de adjudicación.
-
Solicitudes de transferencias urgentes por encontrarse el responsable habitual fuera de la oficina o con problemas técnicos para contactar.
-
Hay que permanecer siempre alerta y notificar cualquier sospecha a csirtcv@gva.es
8. Hay que prestar mucha atención a las propuestas de cambio de cuenta bancaria que se reciben por correo electrónico, porque se puede tratar del Fraude del CEO. Si se necesita realizar una llamada de verificación hay que hacerla siempre de una manera segura; nunca se debe llamar a un número de teléfono que figure en el e-mail sospechoso, sino al que tengamos en nuestra base de datos corporativa o el que figure en la página web oficial de la entidad a la que supuestamente están intentando suplantar.
9. Si ha localizado un e-mail sospechoso y cree que tras él se esconde un Fraude del CEO, le recomendamos guardar un registro de todos los correos enviados y recibidos, por si se requiere hacer una investigación posterior o formular una denuncia ante las FFyCCSE, y mantener una política de contraseñas robustas entre los empleados de la organización.
También queremos recordar que, para cometer este delito, a veces no solo se ha utilizado el correo electrónico, sino que se han recibido mensajes de texto, llamadas de teléfono o información por correo postal, como parte del engaño. ¡Hay que estar siempre alerta!
10. Para no ser víctima del Fraude del CEO lo más importante es NO dejarse intimidar por solicitudes urgentes o amenazantes: los atacantes pueden ser muy persuasivos y pueden hacer creer a la víctima que se trata de un superior o que su puesto de trabajo corre peligro. Además, no hay que olvidar que la mayoría de las veces, los atacantes crean documentos falsificados que resultan extremadamente creíbles.
Desde CSIRT-CV recomendamos que, una vez se detecte un e-mail de este tipo, además de proceder a la notificación, se bloquee al remitente en los servidores de correo, para evitar recibir más en el futuro y comprobar que no se han recibido también en cuentas de otros usuarios.
Como conclusión, podemos decir que para no ser víctimas de este tipo de ataques, hace falta trabajar desde una triple perspectiva:
1. Hay que concienciar tanto a empleados públicos como privados. Su educación y capacitación en temas vinculados a la ciberseguridad resultan cruciales.
2. Mejorar la robustez de los procedimientos que tienen que ver con el alta a terceros y la toma de decisiones. Todos los departamentos deben tener protocolos de transacciones financieras claros y sólidos, y cumplirse estrictamente en todos los casos.
3. Contactar con CSIRT-CV (csirtcv@gva.es) ante cualquier sospecha de estar sufriendo un tipo de estafa como esta.
Esperamos que nuestros consejos os hayan resultado útiles y sirvan para identificar y evitar estos engaños.