• Consultor Virtual CISO

¿Qué es el Fraude de CEO? y su relación con la Empresa Nacional del Petróleo Chilena (ENAP)

El FBI llama BEC (Business Email Compromise) y lo define como “una estafa sofisticada que involucra a altos ejecutivos de empresas y/o organizaciones"


Fraude del CEO: ¿qué es y cómo evitar que suceda en tu empresa?



El fraude del CEO, también conocido como Business Email Compromise (BEC), es un tipo de ataque en el que un ciberdelincuente se hace pasar por un alto ejecutivo de una organización. Éste envía un correo electrónico solicita a un empleado que realicé el envío de datos corporativos, información confidencial de la compañía e inclusive, una transferencia electrónica con el objetivo de generar algún tipo de fraude.


Dado el contexto de la pandemia y el teletrabajo, el fraude del CEO hoy en día se ha convertido en unos de los delitos con más protagonismo y con mayor número de aumento de casos, siendo uno de los delitos más perjudiciales desde el punto de vista económico.


‘Modus operandi’


El modus operandi del fraude del CEO consiste en enviar un correo electrónico al empleado objetivo en el que un falso ejecutivo le pide ayuda para realizar operaciones financieras de manera urgente y confidencial. Si el empleado no se da cuenta de que es un mensaje fraudulento, podría contestar al mensaje y aportar información sensible, como la cantidad de dinero en cuenta u otro dato relevante y confidencial de la compañía. Si dicho empleado tiene además capacidad para ordenar pagos, el ciberdelincuente le pedirá que haga una transferencia a una cuenta corriente determinada y así obtener dinero de forma fraudulenta. Si el fraude se lleva a cabo el dinero se puede dar por perdido, solo se llega a recuperar en un cuatro por ciento de los casos.


Para llevar a cabo este tipo de fraude, el ciberdelincuente estudia antes a la víctima (trabajador) a través de la Ingeniería Social, donde se obtienen datos sobre su rol y responsabilidades en la organización.


Además, los delincuentes aprovechan ocasiones como la ausencia física del directivo en la oficina o incluso en el país, para llevar a cabo este tipo de ataques. De esta manera, resulta más complicado al empleado contactar con él para confirmar si el correo es real.


En este tipo de estafas se atacan a dos objetivos: el director general o alto ejecutivo y el empleado que tiene la facultad para realizar transferencias de dinero o enviar información confidencial de la compañía. Pero esto no significa que el director general sea siempre el que está en el punto de mira de un ciberatacante. Hay al menos otros cuatro grupos que también son considerados grupos objetivos dadas sus funciones y su acceso a la información: departamento financiero, recursos humanos, equipo de dirección y el departamento informático.


ENAP y su intento de defraudarla


Los hechos se remontan al 3 de febrero del 2021, cuando un desconocido escribió directamente a un alto ejecutivo de la empresa estatal. Lo hizo citando el contenido de una conversación y cadena de mensajes legítima que había sido sostenida entre el funcionario y un representante de una empresa abastecedora. En dicha conversación el ciberdelincuente solicitó la modificación de los datos de la cuenta bancaria para el pago de una factura real y gestionada con antelación.


Sin general ningún tipo de sospecha, el ejecutivo gestionó el cambio de los datos bancarios para concretar el pago de los dineros adeudados. Así, los intercambios de e-mails se prolongaron por una semana. Recién el 10 de febrero de 2021, la organización se percató del intento de fraude, gracias a que el banco receptor notificó a la empresa estatal que la transacción había sido rechazada. Se verificaron inconsistencias entre el nombre de quien recibiría los dineros y el de la cuenta a la que estaban siendo enviados.


En total, se identificaron 32 correos recibidos entre el 3 de febrero y el 11 de marzo de 2021, enviados desde varios dominios distintos, relacionados al intento de fraude el cual no pudo concretarse gracias a la intervención del Banco Receptor.


Cómo evitar estos ataques



Las medidas para evitar este tipo de ciberataques principalmente es proteger y educar al eslabón más débil de la cadena, que es nuestro colaborador y/o usuario final.

  • Educar y generar toma de conciencia a nuestros colaboradores para que sean capaces de reconocer este tipo de amenazas.

  • Ayudar a que logren identificar a los remitentes de correo confiables, ya que no suele coincidir con el remitente original que se está suplantando.

  • Incorporar la autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta.

  • Supervisar regularmente las cuentas financieras.

  • Mantener todos los parches de software y sistemas actualizados.

  • Contar con herramientas que nos ayuden a identificar la superficie de ataque.

Nuestros colaboradores entrenados en materias de ciberseguridad y una tecnología de ciberseguridad como complemento, son la mejor combinación de defensa ante este tipo de amenazas.


https://vciso.ninja


11 visualizaciones0 comentarios
  • LinkedIn
  • YouTube