La estafa al CEO
Los métodos utilizados tienen por objeto ganarse la confianza de la víctima para que ordene transacciones financieras o revele información confidencial.
¿En qué consiste la "estafa del CEO"?
La "estafa del CEO" consiste en utilizar la ingeniería social con los empleados de una empresa para burlar su seguridad. El objetivo es engañar a las personas para que realicen transferencias de dinero, traicionen secretos o divulguen información confidencial.
Este tipo de estafa se basa en la persuasión y explota la credulidad de las víctimas. Los estafadores se hacen pasar por un superior (director, vicerrector, miembro del consejo de administración, etc.), un abogado/notario, un agente de seguros, un empleado de la administración o un socio comercial.
¿Cómo funciona este tipo de estafa?
Hay dos factores que contribuyen a la "estafa del CEO". En primer lugar, la comunicación corporativa. Hoy en día se realiza principalmente por correo electrónico. En segundo lugar, la estructura de la mayoría de las grandes empresas se ha vuelto muy compleja. Como resultado, el riesgo de ser descubierto es bajo.
El modus operandi de estos estafadores de altos vuelos consta de cuatro etapas:
- Recopilación de información
- Establecimiento del contacto
- Presión
- El Pago
Para empezar, los estafadores necesitan información sobre la empresa, sus empleados y socios, y sus proyectos de inversión. Para obtener esta información, los delincuentes consultan la página web de la universidad, el registro mercantil, las redes sociales, documentos publicados por error etcétera. En LinkedIn, por ejemplo, los delincuentes encuentran fácilmente información sobre la identidad, el cargo y las relaciones comerciales de cada empleado.
Les interesan especialmente las personas que trabajan en servicios financieros, ya que están autorizadas a realizar transferencias de dinero.
Con esta información, los estafadores se ponen en contacto con su objetivo por correo electrónico o por telefono. Esto se hace, por ejemplo, falsificando la dirección del remitente, una operación bastante sencilla. Los ciberdelincuentes se hacen pasar por el CEO, el rector, un vicerector o un socio de la universidad. A continuación, pueden enviar a su objetivo una solicitud de pago.
Pueden utilizar sofisticadas técnicas de manipulación para conseguir que la víctima actúe con rapidez. Por teléfono, pueden utilizar la misma forma de hablar que la persona cuya identidad están robando.
A continuación, se pide al objetivo que transfiera una suma importante a una cuenta, por motivos que van desde la adquisición confidencial de una empresa hasta el establecimiento de nuevas relaciones bancarias. En todos los casos, el pago debe ser estrictamente confidencial y realizarse lo antes posible. Los defraudadores presionan tanto al responsable de las operaciones financieras que acaban saltándose algunas etapas del procedimiento, sin informar a sus responsables. A menudo, el uso de un asasor falso o de un bufete de abogados ficticio aumenta la presión. También se puede recurrir a la compasión para no decir nada del asunto a los compañeros.
Una vez efectuado el pago, suele ser imposible recuperar el dinero. La cuenta beneficiaria puede estar en un banco reconocido en el extranjero, pero una vez ingresado el dinero en ella, se traslada rápidamente a otras cuentas y se pierde.
Una variación de la "estafa del CEO": phishing/hacking de correo electrónico
El autor piratea el buzon de un correo electrónico y, a continuación, recopila información de la libreta de direcciones y de la correspondencia que parece útil. Esta información se utiliza para ponerse en contacto con la futura víctima. Entre otras cosas, el delincuente utiliza la dirección pirateada. De este modo, el estafador se hace pasar por el verdadero remitente del correo electrónico enviado. A continuación, se utilizan documentos falsificados, como órdenes de transferencia bancaria, facturas, etc., para justificar las transacciones fraudulentas.
Recomendaciones para evitar la estafa del CEO
- En caso de duda, compruebe el origen de la llamada o del correo electrónico y busque el contacto personal (dirección, compañero en la oficina, compañía de seguros, etc.).
- Respete siempre el proceso interno de las transacciones monetarias (jerarquía, competencia, consulta, principio de los "cuatro ojos", firma colectiva, workflow, etc.).
- Toda transacción debe justificarse por escrito (contrato, seguro de vida, etc.).
- No te dejes presionar.
- Rechazar las solicitudes de incumplir las normas internas de seguridad y las normas de confidencialidad (bajo presión de la urgencia).
- No utilices el botón "Responder" para los correos dudosos, sino escribe un nuevo correo. La dirección de correo electrónico del autor suele ser una "falsificación" casi idéntica a la original.
- No abra archivos adjuntos sospechosos.
- Advierta y dialogue con sus compañeros (víctimas potenciales), como los del departamento de contabilidad.
- Envíe información confidencial por correo electrónico cifrado solo.