En sus mensajes simulan una situación de emergencia para la empresa que supuestamente requiere una actuación rápida, confidencial y fuera de los cauces habituales. La Policía aconseja implantar procedimientos seguros para realizar los pagos que requieran una doble verificación antes de ejecutar órdenes sensibles.
La Policía Nacional difunde una serie de pautas seguras para evitar ser víctima de una estafa, conocida como el fraude del CEO, que está afectando a numerosas empresas en nuestro país y que consiste en suplantar la identidad de altos directivos, para lograr que otros empleados realicen transacciones de dinero a los delincuentes.
Verificación
El objetivo de esta acción de comunicación de la Policía es difundir unas pautas de seguridad para las empresas y sus empleados con la finalidad de evitar que sean víctimas de estas estafas. La cautela, el sistema de verificación en dos pasos, la actualización del software y la información son las principales reglas para evitar transferencias fraudulentas.
Un mail del “jefe”
Los cibercriminales envían correos electrónicos, suplantando a alguno de los altos directivos de la empresa, en los que mediante engaños simulan una situación de emergencia para la mercantil y que requiere su actuación rápida, confidencial y fuera de los cauces habituales. En esos mails, el falso directivo da instrucciones al empleado responsable de la realización de transferencias y cuentas bancarias, para que realice unos movimientos de dinero que serán ingresados, sin saberlo, en las cuentas controladas por los delincuentes o por ‘mulas’ preparadas al efecto.
[Sumario]
Para que este ataque a la empresa sea exitoso, los estafadores deben tener identificados a los empleados que tienen la potestad de realizar las transferencias y, además, confeccionar correos electrónicos mediante técnicas de phishing, que aparenten provenir de la propia empresa y del directivo al que suplantan. Para elaborar estos mails, los ciberdelincuentes logran acceder a las cuentas de correo de la empresa para identificar a los empleados a los que intentarán engañar y para copiar la forma de redactar y firmar los mails.
Correo casi idéntico
Los correos fraudulentos son enviados desde la propia cuenta del directivo o bien a través de otra dirección de correo casi idéntica a la del jefe, tan sólo variando un carácter, por ejemplo, si la cuenta real del directivo es ceo@empresavictima.es, envían los correos desde la cuenta ceo@empresavictima.ru, controlada por los delincuentes.
Seguridad
Para evitar caer en este tipo de estafas, se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir, que exijan doble verificación para asegurarse de la veracidad del mensaje.
Consejos previos
Establecer unos protocolos de actuación dentro de la propia empresa respecto a las transferencias de dinero.
Fijar un sistema de doble verificación antes de ejecutar órdenes sensibles.
Formar y dar directrices concretas a los empleados en función de su nivel de responsabilidad.
Estar informados: la Policía Nacional difunde a través de sus perfiles en redes sociales de las nuevas modalidades de estafas y fraudes y las pautas seguras para evitarlos.
Mantener reuniones con los Jefes de Seguridad y con los Directores de Cumplimiento Normativo (Compliance Officer) y asociaciones de empresarios.
Adoptar medidas de seguridad en las comunicaciones: cautela al abrir mails de desconocidos; valorar la información empresarial o corporativa que se publica en redes, actualizar el software de los equipos utilizados por el CEO, con especial atención a las conexiones a través de WiFi abiertas.
Sospechar
Sospechar cuando les meten prisa (el defraudador suele aprovechar momentos de “guardia baja de la víctima”: vacaciones, fines de semana, horarios fuera de los habituales…).
Fijarse en la redacción de algunos correos, dado que los mismos se traducen al idioma correspondiente, con traductores on-line, y suelen producirse incorrecciones.
Comprobación minuciosa de las direcciones de los correos electrónicos para verificar si son los auténticos de la empresa.
Sospechar de las solicitudes de transferencia sólo con intercambios de correo o si cambian cuentas habituales, verificar antes por otro medio fiable previamente establecido.
Sistemas de comprobación con protocolo doble check (correo + teléfono).
Contacto directo con el CEO.
