¿Conoces qué es el fraude del CEO? TIC Defense te lo explica
El llamado fraude del CEO no es más que una versión más ambiciosa y sofisticada de una de las técnicas de ingeniería social más populares, tal es el caso del phishing. Este tipo de ataque consiste en fijar un objetivo empresarial y realizar una labor de inteligencia, con la meta de comprender cómo puede funcionar la compañía y cuáles son los targets dentro de ella.
Luego, se crea una dirección de correo electrónico falsa, aparentando ser legítima. Allí, puede incorporarse el dominio de la organización objetivo e introduciendo variaciones sutiles que puedan pasar desapercibidas.
Se envía el correo electrónico a un directivo con poder, capacidad e influencia para ejecutar grandes transferencias de dinero. Esto se logra haciéndose pasar por un superior jerárquico, habitualmente, el CEO o el CFO. En dicho mensaje se puede ver la información precisa que justifica la operación criminal.
Un ejemplo de esto es la adquisición de otra empresa y, por lo general, es de un país diferente y con un idioma distinto. Tiempo después, se pueden pedir transferencias diferentes a lo largo de un período determinado, para completar la operación que las justifica.
Durante el tiempo en el que el fraude del CEO está activo, puede generarse y remitirse a la víctima una documentación que le otorgue a la acción criminal una apariencia de verdad. Facturas y contratos supuestamente auténticos sirven para este fin.
Por último, cuando la organización o las instituciones bancarias detectan el fraude, los ciberdelincuentes desaparecen sin dejar rastro, en donde el dinero obtenido se mueve a través de diferentes países. Esto con el objetivo de dificultar su rastreo, ubicación y recuperación.
Ampliando estas operaciones básicas, los atacantes han ido perfeccionando el fraude del CEO, con el objetivo de estafar a sus víctimas con éxito total. Ahora, han incorporado llamadas falsas o suplantando la identidad de variedad de personas y compañías.
Gracias a este perfeccionamiento, el fraude del CEO se ha ido consolidando como una actividad fraudulenta de primer nivel y de amenaza crítica. Cada grupo de actores maliciosos tiene su propia metodología, evolucionando con el tiempo. Sin embargo, existen 3 elementos que son universales y que unen a todos los métodos de este fraude.
El primero de ellos, es el sorteo de la resistencia de la víctima y la minimización de su suspicacia, razón por la cual viene el segundo elemento, que es el de forzar a las víctimas a actuar sin diligencia y sin aplicar controles de seguridad. Por último, el tercer elemento se encarga de que la víctima no logre interactuar con otros compañeros e incluso, evita que la víctima se ponga en contacto con su superior inmediato de forma directa.
La jerarquía es vital para el éxito del fraude del CEO, ya que una orden de estafa tiene que hacerla un superior jerárquico. Hasta los momentos, los fraudes del CEO registrados han tenido éxito debido a que muchos directivos y profesionales no cuestionan las órdenes superiores, aun cuando les parezca extraña.
La discreción es otra clave del éxito del fraude del CEO, debido a que los mensajes de correo electrónico fraudulento se enfocan en que el directivo o profesional sea discreto cuando va a hacer los trámites de las operaciones financieras. El objetivo es una operación sensible, como una adquisición.
En el ámbito psicológico, formar parte de un pequeño núcleo de personas que conocen la supuesta operación hace que la víctima se crea importante y pase por alto las señales de alarma. La sensación de importancia hace que dicha víctima actúe negligentemente y que se extralimite en sus funciones.
