Según el FBI, las estafas llevadas a cabo mediante suplantación de la identidad van en rápido aumento y desde 2016 han provocado pérdidas económicas en todo el mundo de 26.000 millones de dólares. Hace apenas 1 mes, el 10 de septiembre, el departamento de justicia de los Estados Unidos anunciaba el arresto de 281 personas en todo el mundo en una operación coordinada dirigida a personas implicadas en este fraude de correo electrónico corporativo. Ha sido la acción más grande de este tipo jamás realizada. En general, las estafas en las que se compromete el correo electrónico, son el tipo de cibercrimen que más perdidas económicas a nivel mundial provoca y que más preocupan a expertos en cibercrimen.
Paradójicamente, el tipo de ciberataque y estafa que nos ocupa es la más fácil de llevar a cabo por hackers y la menos “tecnológica” por así decirlo por lo que cualquier persona con la habilidad necesaria y prácticamente sin conocimientos informáticos, puede llevarla a cabo. Los ataques emplean más bien la ingeniería social y picardía para llevarse a cabo.
¿En qué consiste el CEO Fraud a través del correo electrónico?
Veamos un ejemplo clásico de CEO Fraud perpretado a través de spoofing del email:
*Trabajas en el departamento administrativo de tu empresa. Eres el encargado de realizar los pagos y cobros en tu empresa.
*Estás pendiente de que Mecanizados Rodolfo os envíe un número de cuenta para que podáis pagar el pedido que acabáis de realizar.
*Recibes un correo de tu jefe (un impostor) indicándote que debes realizar la transferencia para el pedido de Mecanizados Rodolfo al número de cuenta indicado. Realizas la operación indicada.
*Pasan los días y Mecanizados Rodolfo os llama preguntando por qué no se ha efectuado el pago del pedido.
El dinero se envió pero a dónde ya es otra cuestión.
Básicamente, el cibercriminal suplanta la dirección de correo de uno de los jefes de una empresa, enviando un correo a un empleado de la compañía. El empleado recibe un correo que piensa que procede de su jefe, sin embargo procede de alguien que está suplantando la identidad del jefe. En muchas ocasiones, el correo incluye hasta la misma firma de correo o sello de la empresa por lo que es difícil que alguien sospeche que el email no es legítimo. El objetivo del email suele ser el de dar instrucciones para efectuar alguna operación como la de realizar una transferencia bancaria.
El email falso del impostor suele intentar proceder de la empresa de la víctima pero también puede intentar suplantar la identidad del propio cliente o un proveedor. A efectos prácticos es parecido con la salvedad de que el hacker ha obtenido datos de dos empresas y no solo una para perpetrar la estafa.
No hay comentarios.:
Publicar un comentario