Compartir:
Fraude del CEO Esta estafa lo despedirá y le costará dinero a su jefe
El correo electrónico es un vector de ataque común utilizado por estafadores y delincuentes informáticos. Pero si pensó que solo se usaba para difundir malware, phishing y fraudes de tarifas anticipadas en Nigeria, ¿los correos electrónicos de estafa nigerianos ocultan un terrible secreto? [Opinión] ¿Los correos electrónicos de estafa nigerianos ocultan un terrible secreto? [Opinión] Otro día, otro correo electrónico no deseado cae en mi bandeja de entrada, de alguna manera se abre camino en el filtro de correo no deseado de Windows Live que hace un buen trabajo protegiendo mis ojos de todos los otros no solicitados ... Leer más, piénsalo de nuevo. Hay una nueva estafa dirigida por correo electrónico en la que un atacante pretende ser su jefe y le permite transferir miles de dólares de los fondos de la compañía a una cuenta bancaria que controlan..
Se llama CEO Fraud, o “Suplantación de identidad”.
Entendiendo el ataque
Entonces, ¿cómo funciona el ataque? Bueno, para que un atacante lo logre, necesita saber mucha información sobre la compañía a la que se dirige..
Gran parte de esta información se refiere a la estructura jerárquica de la empresa o institución a la que se dirige. Ellos necesitaran saber quien Ellos se harán pasar por la personificación. Aunque este tipo de estafa se conoce como “Fraude de CEO”, en realidad apunta nadie con un cargo de alto nivel: cualquier persona que pueda iniciar pagos. Necesitarán saber su nombre y su dirección de correo electrónico. También sería útil saber su horario y cuándo viajarán o de vacaciones..
Finalmente, necesitan saber quién en la organización es capaz de emitir transferencias de dinero, como un contador o alguien que trabaja en el departamento de finanzas..
Mucha de esta información se puede encontrar libremente en los sitios web de la empresa en cuestión. Muchas empresas medianas y pequeñas tienen “Sobre nosotros” páginas, donde enumeran a sus empleados, sus roles y responsabilidades, y su información de contacto.
Encontrar los horarios de alguien puede ser un poco más difícil. La gran mayoría de las personas no publican su calendario en línea. Sin embargo, muchas personas publicitan sus movimientos en sitios de redes sociales, como Twitter, Facebook y Swarm (anteriormente Foursquare) Foursquare Relanza como herramienta de descubrimiento basada en sus gustos Foursquare relanza como Discovery Tool basado en sus gustos Foursquare fue pionero en el check-in móvil; una actualización de estado basada en la ubicación que le dijo al mundo exactamente dónde estaba y por qué: ¿el cambio a una herramienta de descubrimiento puro es un paso adelante? Lee mas . Un atacante solo tendría que esperar hasta que salga de la oficina, y pueden atacar.
Estoy en St George's Market - @ stgeorgesbt1 en Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 de enero de 2016
Una vez que el atacante tiene todas las piezas del rompecabezas que necesita para llevar a cabo el ataque, enviarán un correo electrónico al empleado de finanzas, alegando ser el CEO, y solicitando que inicien una transferencia de dinero a una cuenta bancaria que controlan..
Para que funcione, el correo electrónico tiene que parecer genuino. Ellos usarán una cuenta de correo electrónico que parezca 'legítima' o plausible (por ejemplo, [email protected]), o aunque "falsificando" el correo electrónico genuino del CEO. Aquí se enviará un correo electrónico con los encabezados modificados, por lo que “Desde:” campo contiene el correo electrónico genuino del CEO. Algunos atacantes motivados intentarán que el CEO les envíe un correo electrónico, para que puedan duplicar el estilo y la estética de su correo electrónico..
El atacante esperará que el empleado financiero sea presionado para iniciar la transferencia sin consultar primero con el ejecutivo objetivo. Esta apuesta a menudo vale la pena, ya que algunas compañías han pagado cientos de miles de dólares de forma poco fiable. Una compañía en Francia que fue perfilada por la BBC perdió 100,000 Euros. Los atacantes intentaron obtener 500,000, pero todos menos uno de los pagos fueron bloqueados por el banco, que sospechaba de fraude..
Cómo funcionan los ataques de ingeniería social
Las amenazas tradicionales a la seguridad informática tienden a ser de naturaleza tecnológica. Como resultado, puedes emplear medidas tecnológicas para derrotar estos ataques. Si se infecta con malware, puede instalar un programa antivirus. Si alguien ha intentado piratear su servidor web, puede contratar a alguien para que realice una prueba de penetración y aconsejarle sobre cómo puede "endurecer" la máquina contra otros ataques..
Ataques de ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica] ¿Qué es la ingeniería social? [Explica MakeUseOf] Puede instalar el firewall más fuerte y costoso de la industria. Puede educar a los empleados sobre los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero es mucho más difícil de mitigar, ya que no están atacando sistemas o hardware. Están atacando a la gente. En lugar de explotar las vulnerabilidades en el código, aprovechan la naturaleza humana y nuestro imperativo biológico instintivo para confiar en otras personas. Una de las explicaciones más interesantes de este ataque se hizo en la conferencia DEFCON en 2013..
Algunos de los hacks más atrevidos y audaces fueron producto de la ingeniería social..
En 2012, el ex periodista de Wired Mat Honan se vio atacado por un determinado grupo de cibercriminales, quienes estaban decididos a desmantelar su vida en línea. Mediante el uso de tácticas de ingeniería social, pudieron convencer a Amazon y Apple para que les proporcionaran la información que necesitaban para borrar remotamente su MacBook Air y su iPhone, eliminar su cuenta de correo electrónico y aprovechar su influyente cuenta de Twitter para publicar epítetos raciales y homófobos . Puedes leer el relato escalofriante aquí..
Los ataques de ingeniería social no son una innovación nueva. Los piratas informáticos los han estado utilizando durante décadas para obtener acceso a los sistemas, edificios e información durante décadas. Uno de los ingenieros sociales más notorios es Kevin Mitnick, quien a mediados de los años 90 pasó varios años escondiéndose de la policía, luego de cometer una serie de delitos informáticos. Fue encarcelado durante cinco años y se le prohibió usar una computadora hasta 2003. Como piratas informáticos, Mitnick estuvo lo más cerca posible de tener el estatus de estrella de rock 10 de los hackers más famosos del mundo (y qué les pasó a ellos) 10 de los Los hackers más famosos del mundo (y qué les sucedió a ellos) Los hackers de sombrero blanco frente a los hackers de sombrero negro. Aquí están los hackers más famosos de la historia y lo que están haciendo hoy. Lee mas . Cuando finalmente se le permitió usar Internet, fue televisado en el canal de Leo Laporte. Los protectores de pantalla.
Finalmente se hizo legítimo. Ahora dirige su propia empresa de consultoría de seguridad informática y ha escrito varios libros sobre ingeniería social y piratería. Quizás el más bien considerado es “El arte del engaño”. Esta es esencialmente una antología de historias cortas que analizan cómo se pueden realizar los ataques de ingeniería social y cómo protegerse contra ellos Cómo protegerse contra ataques de ingeniería social Cómo protegerse contra ataques de ingeniería social La semana pasada echamos un vistazo a Algunas de las principales amenazas de ingeniería social que usted, su empresa o sus empleados deben estar observando. En pocas palabras, la ingeniería social es similar a ... Leer más, y está disponible para su compra en Amazon.
El arte del engaño: el control del elemento humano de la seguridad El arte del engaño: el control del elemento humano de la seguridad Compre Ahora En Amazon $ 5.58
¿Qué se puede hacer sobre el fraude de CEO??
Entonces, recapitulemos. Sabemos que el fraude del CEO es horrible. Sabemos que a muchas empresas les cuesta mucho dinero. Sabemos que es increíblemente difícil de mitigar, porque es un ataque contra humanos, no contra computadoras. Lo último que queda por cubrir es cómo luchamos contra él..
Esto es más fácil dicho que hecho. Si usted es un empleado y ha recibido una solicitud de pago sospechosa de su empleador o jefe, es posible que desee consultar con ellos (utilizando un método que no sea el correo electrónico) para ver si fue genuino. Pueden estar un poco molestos contigo por molestarlos, pero probablemente estarán Más molesto si terminó enviando $ 100,000 de fondos de la compañía a una cuenta bancaria extranjera.
Hay soluciones tecnológicas que pueden ser utilizadas, también. La próxima actualización de Microsoft a Office 365 contendrá algunas protecciones contra este tipo de ataque, al verificar la fuente de cada correo electrónico para ver si proviene de un contacto de confianza. Microsoft reconoce que lograron una mejora del 500% en la forma en que Office 365 identifica los correos electrónicos falsificados o falsificados.
No ser picado
La forma más confiable de protegerse contra estos ataques es ser escéptico. Siempre que reciba un correo electrónico que le pida que realice una gran transferencia de dinero, llame a su jefe para ver si es legítimo. Si tiene alguna influencia con el departamento de TI, considere pedirles que se muden a Office 365 Una introducción a Office 365: ¿Debería comprar el nuevo modelo de negocio de Office? Una introducción a Office 365: ¿Debería comprar el nuevo modelo de negocio de Office? Office 365 es un paquete basado en suscripción que ofrece acceso al último conjunto de aplicaciones de escritorio de Office, Office Online, almacenamiento en la nube y aplicaciones móviles premium. ¿Office 365 proporciona suficiente valor como para que valga la pena el dinero? Leer más, que está liderando el paquete cuando se trata de luchar contra el fraude de CEO.
Ciertamente espero que no, pero ¿alguna vez ha sido víctima de una estafa de correo electrónico motivada por el dinero? Si es así, quiero saberlo. Deja de ser un comentario a continuación, y dime lo que pasó.
Créditos fotográficos: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)
Obtenga más información sobre: Fraude en línea, Seguridad en línea, Estafas.