El fraude del CEO. Cómo detectarlo y prevenirlo

Por
Contenidos ITware
-
398

BTR ConsultingPor Gabriel Zurdo (*)

Una serie de campañas de Compromiso de Correo Electrónico de Empresas (o BEC-Business EMail Compromise) se han dirigido a ejecutivos de más de 1,000 compañías, recientemente en los Estados Unidos y Canadá. El fraude del CEO tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos para que paguen a un proveedor falso o hagan una transferencia desde la cuenta de la compañía.

Estas campañas forman parte y tienen un correlato con lo que comúnmente se conoce como ESTAFA DEL CEO. Hemos registrado y participado del análisis forense de más de dos docenas de casos en Argentina de los cuales cerca del 50% CONCRETÓ LA OPERACIÓN. En general se trata de víctimas (empresas e individuos) con presencia regional/global, que fueron estafadas mediante transferencias de entre u$S 500.000 y u$S 3.000.000, que llegan a cuentas de ciberdelincuentes.

Está claro que el confinamiento ha generado la tormenta perfecta para que los ciberdelincuentes se aprovechen de la situación y no cesen de enviar ataques masivos de los que se aprovechan para cometer no solo una sino dos o tres estafas a la vez. Saben que el estado de alarma ha originado que sean muchos los trabajadores que estos días se conectan a la empresa desde casa. Eso es para ellos una puerta de acceso tanto a los datos personales de las víctimas como de las empresas en las que trabaja y con las que se conectan cada día. Y una de las estafas que en estos días vuelve a estar de moda es la del CEO. 

El vector para el ataque

Campañas de BEC en curso se han dirigido a las cuentas de Office 365 de ejecutivos comerciales desde marzo de 2020. En este caso los atacantes, denominados Water Nue, se han dirigido a ejecutivos de más de 1.000 empresas, más recientemente las que ocupan puestos de alto nivel en los EE.UU. y Canadá.

Los objetivos principales son los funcionarios y ejecutivos financieros, a quienes atacan con el objeto de robar credenciales para realizar más fraudes. Sus correos electrónicos de phishing redirigen a las víctimas a páginas de inicio de sesión falsas de Office 365. Con credenciales robadas, los delincuentes envían correos electrónicos a los subordinados de los ejecutivos que contienen facturas con información bancaria alterada para que puedan intentar robar fondos a través de solicitudes de transferencia.

Water Nue tiene éxito en apuntar a empleados de alto nivel, el uso de servicios en la nube les permitió invisibilizar los ataques al alojar la infraestructura en los servicios de sus víctimas, lo que dificulta que los equipos forenses detecten su actividad. Esta técnica se ha vuelto cada vez más común entre los ciberdelincuentes.

Los ataques BEC son un problema constante y costoso para las organizaciones. En febrero, el FBI publicó su Informe de delitos en Internet, y señaló que recibió casi 24.000 quejas sobre estafas de BEC en 2019, con una pérdida total de $ 1.7 mil millones y un aumento del 269% en los ataques BEC en el último trimestre del 2019.

En marzo de este año y en plena Pandemia se descubrió que otra banda, en este caso estafadores nigerianos, había incrementado sus propios esquemas BEC, utilizando malware y kits de phishing mucho más sofisticados para hacerse pasar por ejecutivos y robar dinero en efectivo de las empresas. Esta pandilla denominada SilverTerrier, fue responsable de la mayor parte de estos ataques: 2,1 millones de BEC en 2019. La creciente aparición de estas bandas de delincuentes cibernéticos se produce en un momento en que los ataques BEC están aumentando a nivel mundial. En septiembre de 2019, el Departamento de Justicia de EE.UU. anunció que 281 personas, de las cuales 167 eran nigerianas, fueron arrestadas como parte de un esfuerzo coordinado para interrumpir el esquema de BEC. SilverTerrier ha estado activo desde al menos 2014 y actúa como una organización paraguas para unas 480 personas. A la fecha el grupo produjo más de 90.000 muestras de malware.

Roban 2,4 millones de euros con la estafa del CEO, once detenidos

En mayo de este año y en plena Pandemia en España, 11 ciberdelincuentes detenidos habrían robado más de 2.400.000 euros a empresas y particulares de múltiples países. Realizaban fraudes a través de recursos tecnológicos valiéndose de métodos de ingeniería social.

Utilizaban más de 150 cuentas bancarias de las que se habrían valido para defraudar a empresas situadas en Italia, República Checa, Estados Unidos, Líbano, China, Kazajistán o Países Bajos. Utilizaban técnicas de phishing y la conocida como ‘estafa del CEO’, que consiste en engañar a un empleado de alto rango de una empresa mediante un email que simula ser de su jefe, CEO, Presidente o Director, en el que se pide realizar una supuesta operación financiera confidencial y urgente, que sin embargo tiene por destinatario a los timadores. La pesquisa demandó casi dos años, y determinó la existencia de un grupo organizado de ciberdelincuentes especializados en dos modalidades de fraude: el phishing y la estafa del CEO.

Las 150 cuentas bancarias que constituían una compleja red de intermediarios eran utilizadas para ocultar el origen fraudulento del dinero obtenido y, además, dificultar la identificación de los destinatarios finales de las cantidades obtenidas de forma ilícita.

Arquitectura de “el fraude del CEO”

La estafa del CEO es una modalidad delictiva que se caracteriza porque, a diferencia del phishing, la víctima tiene un perfil establecido y definido: un empleado con acceso a los recursos económicos de una empresa y que ha sido estudiado y seleccionado previamente en base a los objetivos de los delincuentes. Básicamente el engaño consiste en que un empleado de alto rango o el contable de la empresa con capacidad para hacer transferencias o acceso a datos de cuentas bancarias, recibe un correo electrónico, supuestamente de su jefe, ya sea su CEO, presidente o director de la compañía. En este mensaje le pide ayuda para realizar una operación financiera confidencial y urgente. Si el trabajador no se percata del engaño puede revelar datos sensibles a los estafadores o directamente transferirles fondos.

Con base en nuestra experiencia  de campo las víctimas de un ataque de este tipo son firmes candidatos a largo plazo a nuevos intentos del mismo tipo de fraude. 

¿Cómo lo hacen?

  1. Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (p. ej. el Director General).
  2. Conoce bien cómo funciona la organización.
  3. Solicita que se haga un pago urgente.
  4. El empleado transfiere los fondos a una cuenta controlada por el estafador.
  5. Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona o por correo electrónico.
  6. Usa expresiones como «Confidencialidad», «La compañía confía en ti», «Ahora mismo no estoy disponible».
  7. Hace referencia a una situación delicada (p. ej. una inspección fiscal, una fusión o una adquisición).
  8. Solicita al empleado que no siga los procedimientos de autorización habituales.

¿Qué señales te alertarán?

  1. Correo electrónico o llamada telefónica no solicitados
  2. Presión y carácter de urgencia
  3. Comunicación directa con un alto cargo con el que normalmente no estás en contacto
  4. Solicitud fuera de lugar que contradice los procedimientos internos
  5. Solicitud de absoluta confidencialidad
  6. Amenazas, comentarios aduladores o promesas de recompensa

¿Qué puedes hacer?

Como empresa

  1. Sé consciente de los riesgos y asegúrate que los empleados también lo estén
  2. Motiva a tus equipos a ser precavidos cuando les soliciten un pago
  3. Implementa protocolos internos para los pagos
  4. Implementa un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo
  5. Establece procedimientos para gestionar el fraude
  6. Revisa el contenido del portal web de tu empresa, limita la información y sé cauteloso en las redes sociales

Como empleado

  1. Respeta estrictamente los procedimientos de seguridad vigentes para los pagos y las compras
  2. No te saltees ningún paso y no cedas a la presión
  3. Revisa siempre con cuidado las direcciones de correo cuando manejes información delicada o hagas transferencias
  4. En caso de duda sobre una orden de transferencia, consulta a un compañero experto
  5. No abras nunca enlaces o adjuntos sospechosos recibidos por correo. Ten especial cuidado al consultar tu correo personal en los ordenadores de la empresa
  6. Limita la información y sé cauto en las redes sociales
  7. No compartas información sobre el organigrama, la seguridad y los procedimientos de tu compañía
Gabriel Zurdo, CEO de BTR Consulting
Gabriel Zurdo

(*) CEO de BTR Consulting

 

Artículos relacionadosMás del autor