‘Phishing’ – El timo del CEO


En el contexto actual, además de tener en cuenta algunas las recomendaciones sobre las medidas a aplicar por parte de las empresas en lo que hace referencia al teletrabajo como hemos explicado en los últimos posts, debemos tener en cuenta que se pueden incrementar timos que utilizan la ingeniería social como el ‘timo del CEO’.

En este post, os queremos explicar este método de phishing y ofreceros una serie de recomendaciones que ha elaborado INCIBE.

¿A quién va dirigido el ‘timo del CEO’?

A cualquier empleado de una compañía, en especial aquellos que tengan accesos a los recursos económicos y financieros de la empresa.

En general, cualquier persona que esté habilitada para emitir pagos por transferencia a nombre de la empresa o cuente con la información necesaria para realizarlos.

¿Qué es la ‘estafa del CEO’?

Este timo consiste en que un empleado de alto rango o el contable de la empresa, con capacidad para hacer transferencias o con acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.

Si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe y picar en el engaño. Este tipo de engaños se conoce como whaling por tratarse de phishing dirigido a «peces gordos».

Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más difícil de detectar.

De no darse cuenta del engaño, podría desvelar datos confidenciales como el saldo de la cuenta, al que seguiría una petición para que haga alguna transferencia urgente.

Los defraudadores aprovechan ocasiones en las que el jefe está ausente de viaje o poco accesible, como puede suceder estos días, para perpetrar este tipo de suplantaciones y que la víctima no tenga la oportunidad de verificar su autenticidad.

En casos más sofisticados, pueden previamente haber espiado, mediante un malware espía, los correos electrónicos para imitar el estilo de escritura del jefe. También han podido previamente robar las credenciales de acceso del jefe a su cuenta de correo para enviar el correo desde esta misma cuenta.

Recomendaciones

Este tipo de fraudes utiliza técnicas de ingeniería social. La forma de evitarlos es concienciar a los empleados para reconocerlos y evitarlos, teniendo especial atención si utilizan dispositivos móviles para leer el correo.

Es importante establecer procedimientos seguros para realizar pagos, de forma que esté implicada más de una persona, con doble verificación, por ejemplo.

Además, para evitar que espíen nuestro correo electrónico y paliar los efectos de una posible infección:

  • tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
  • instalar y configurar filtros anti spam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
  • desactivar la vista de correos en HTML en las cuentas críticas.

Consejos para evitar ser objeto de ‘phishing’

  • Si dudamos del remitente:
    • Comprobaremos de quién es ese dominio (lo que va detrás de la @) en Whois. También podremos comprobar si esa URL aloja algún malware utilizando el servicio gratuito de análisis de URL de Virustotal.
    • En caso de que el correo electrónico no sea visible, analizaremos los detalles de la cabecera del mensaje (aquí puedes revisar cómo ver las cabeceras en distintos clientes de correo y cómo entenderlas) para comprobar la dirección de correo del remitente, aunque este dato no es del todo fiable, pues podrían estar suplantándolo.
  • Si el mensaje tiene adjuntos sospechosos:
    • Tendremos habilitada la opción que permite mostrar la extensión de los archivos en el sistema operativo.
    • Si dudamos de un archivo que hemos descargado podemos comprobar, antes de ejecutarlo, si contiene malware en la web de Virustotal.
    • Deshabilitaremos las macros en Microsoft Office. Esta es la forma de hacerlo en Mac Osx y en Windows.
    • Para impedir la ejecución de archivos ejecutables a los usuarios, se pueden utilizar aplicaciones de lista blanca como AppLocker.
  • Si el mensaje nos invita a hacer clic en enlaces:
    • Ante la mínima sospecha copiaremos el link y lo analizaremos en Virustotal o en otra página similar.
    • Los enlaces acortados pueden esconder sorpresas desagradables pues a priori no podemos saber dónde nos llevarán. Una opción es copiarlos en unshorten.me para extenderlos antes de hacer clic en ellos.

Fuente: www.incibe.es

Recordad que estamos a vuestra disposición para cualquier duda que podáis tener.

El equipo de PymeLegal.

#quédateencasa