La estafa del CEO vía WhatsApp
El fraude del CEO es una de las estafas más recurrentes que se están utilizando en los últimos tiempos contra las empresas. El objetivo de este ataque, es conseguir transferencias cuantiosas, a la cuenta de los estafadores, habitualmente en el extranjero, engañando a los responsables de finanzas de las empresas. Y aunque el contacto, por lo habitual, es mediante un mail, últimamente, esta estafa va un paso más allá, y se está realizando mediante WhatsApp, donde se hacen pasar por el CEO o un cargo importante de la empresa. Y para que sea más “confiable”, completan el perfil con una foto de la persona a suplantar y que, normalmente, consiguen en sus redes sociales. ¿Qué es el fraude del CEO? La estafa del CEO es un fraude de ingeniería social, donde los estafadores, primero investigan a la empresa, para obtener el máximo de información sobre la organización (organigrama, nombres y correos de directivos, fechas de vacaciones de los jefes, datos de proveedores, clientes…), y toda aquella información que pueda darles credibilidad a la hora de ejecutar la suplantación de identidad. También analizan perfiles en redes sociales y monitorizan correos electrónicos para identificar quién toma decisiones de pago en la empresa. Por otro lado, los ciberdelincuentes recopilan datos sobre sus víctimas (nombres y cargos de los empleados, listas de correos, redes sociales y otros medios) para poder generar confianza. Como es habitual, en todos estos engaños, los estafadores juegan con la urgencia y en este caso en especial, añaden la confianza y el miedo a desobedecer a un superior, lo que facilita que la persona encargada de realizar los pagos lleve a cabo esa transferencia, pago o compra sin verificar, creyendo que obedece una orden legítima. Como mencionábamos al principio, esta estafa lleva años y se empezó a ejecutar a través de correos electrónicos (phishing) o llamadas (vishing), pero el auge de la inteligencia artificial ha permitido, a los atacantes, perfeccionar las técnicas de deepfake imitando la voz y/o la imagen de los directivos, consiguiendo que parezcan más reales mediante videollamadas o audios. ¿Cómo detectar el engaño del CEO? Ante todo engaño, los ciberdelincuentes intentan crear urgencia y miedo. Y en el caso de la estafa del CEO, una de las primeras cosas que debería hacer sospechar, es que el procedimiento para realizar una transferencia o un pago no es el habitual. No es habitual que un directivo solicite por WhatsApp o llamada que se realice un pago. Estos son algunos mensajes tipo que podrían llegar: Necesito que hagas esta transferencia antes de las 14:00, confío en tu discreción Estoy en una reunión y no puedo hablar ahora, pero es urgente Este pago es confidencial, por favor, no informes a nadie Hola. ¿Estás libre ahora mismo? Contáctame por WhatsApp, este es mi número También un factor en el que fijarse son los errores en la escritura. No sólo pueden ser erratas, sino también incoherencias gramaticales que vienen de una traducción automática. Además, en muchos casos, para lograr su objetivo e intentar convencer y desestabilizar al empleado, pueden utilizar amenazas de despido si no se realiza la transferencia, más o menos veladas, o, por lo contrario, ofrecer algún tipo de recompensa o adulaciones. ¿Cómo evitar la estafa del CEO? Ante este tipo de actuación recomendamos que se tengan en cuenta las siguientes recomendaciones: Ignorar el mensaje sea por mail, llamada, sms o WhatsApp Reportar el intento de ataque lo antes posible a un superior. Realizar una doble verificación. o Contactar con la persona que ha solicitado el pago a través de otro medio diferente del cual ha llegado la petición. o Sino se puede confirmar con el cargo en cuestión, confirmar con otro alto cargo de rango similar o con su asistente personal. Tener precaución con enlaces dentro de los correos electrónicos o WhatsApp. Ante cualquier duda, cotejar la información o consultar con el departamento informático de la empresa. En el caso de que la transferencia se solicite para el pago a un proveedor, es imprescindible verificar el IBAN y, en caso de observar cambios, contactar directamente con el proveedor para confirmar dicho cambio. ¿Qué hacer si has sido víctima de la estafa del CEO? Si sospechas que has sido víctima de esta estafa, no dudes en seguir estas recomendaciones: Informa inmediatamente a un superior Contacta con el departamento de ciberseguridad de tu empresa, incluso si los estafadores no se han salido con la suya, para que puedan rastrear y establecer los protocolos pertinentes. Denuncia la estafa ante los Cuerpos y Fuerzas de Seguridad del estado.
Alerta de Seguridad: Nueva campaña de phishing con aspecto del Banco de Santander
Desde hace un tiempo han comenzado a surgir avisos vía correo electrónico, aparentemente del Banco Santander, en los que se invita a revisar y, en su caso, corregir cierta información a los usuarios. Para ello se proporciona un enlace fraudulento, que puede llevar a introducir credenciales de usuario que quedarían en poder del ciberdelincuente. Se trata de un caso claro de phishing, y en concreto, dado el elevado volumen de avisos recibidos, de una campaña que al parecer ha alcanzado un grado de intensidad bastante elevado a partir de esta mañana. Descripción del ataque El ataque se lleva a cabo usando como vector un correo electrónico con el siguiente contenido: El enlace dirige a una página que no tiene que ver nada con el Santander (qwafafew.com en los casos analizados, si bien puede ser cualquier otra página comprometida por el equipo que lleva a cabo el fraude), aunque a lo largo de la URL aparece "gruposantander" para intentar engañar a la posible víctima haciéndole creer que se encuentra ante un sitio legítimo, a lo que también contribuye la propia composición de la página fraudulenta, con la imagen de marca del Santander, y donde paradójicamente se avisa incluso de posibles casos de phishing: Si la posible víctima cae en la "trampa", introducirá credenciales que caerán en manos de los ciberdelincuentes, que las usarán para robar su dinero o incluso usar su cuenta como cuenta de blanqueo de capitales (Cuentas de "mulero"). Análisis de la estafa Varios son los indicios que indican que estamos ante una estafa: La redacción del correo: faltan tildes ("una o mas", hay signos de puntuación mal situados ("Sus opciones Bankline, se han actualizado"), el uso del infinitivo en lugar del imperativo ("Revisar y aprobar los cambios[...]" en lugar de "Revise y apruebe")... La falta de elementos de imagen corporativa del Santander y de dirección de correo y/o teléfono de contacto para aclaraciones. Aunque el texto del enlace parece apuntar a una web del grupo Santander, el enlace en realidad apunta a otra URL fraudulenta. Todos estos elementos, y también la ausencia de seguridad en la página de destino (No aparece el candado, ni https:// al inicio de la barra de direcciones) indican un fraude. Recomendaciones Las recomendaciones son las usuales en este tipo de estafas, que hemos comunicado en anteriores boletines: Desconfiar de cualquier correo electrónico donde se cometan varias faltas de ortografía o gramaticales, cuyo remitente sea sospechoso o que no tenga logos de empresas si estas son de cierta entidad. Evitar pulsar enlaces en correos electrónicos, aunque hayan sido recibidos de una dirección en la que confiemos. Antes, verificar con el remitente que él ha sido el que lo ha enviado. Evitar en lo posible introducir usuario y contraseña en páginas cuya dirección no haya sido escrita por nosotros en la barra de direcciones del navegador. Si nos piden usuario y contraseña en una página, comprobar que la dirección que aparece en la barra de direcciones es correcta y está bien escrita. Comprobar que el envío de contraseña está cifrado (Candado al lado de la dirección en la barra de direcciones, y https:// en lugar de http://) Cambiar con frecuencia las contraseñas de acceso a los servicios que usamos. No usar la misma contraseña en varios servicios. Usar si es posible la validación en dos pasos que ofrecen varios servicios (Google, Hotmail...) Usar contraseñas de buena calidad: o Cuanto más largas mejor o Intentar mezclar mayúsculas, minúsculas, números y caracteres especiales o Intentar evitar palabras que se encuentran en diccionarios, expresiones coloquiales, fechas o palabras relacionadas con nosotros mismos y/o cadenas evidentes (123456, qwerty...). En caso de detectar a tiempo cualquier aviso, mecanismo o sistema de estafa y/o fraude, además de proteger nuestros equipos y credenciales podemos denunciar dicha actividad a la @policia Te recomendamos leer también nuestros post: "Cómo evitar fraudes, estafas telefónicas y SMS Premium", "15 consejos para asegurar la privacidad de tus fotos y contenidos en internet y en el móvil" y "10 recomendaciones de oro para navegar sin riesgo por las wifis públicas abiertas".
