Desde hace unos meses, una nueva campaña de spoofing a través del email ha cobrado fuerza en todo el mundo. Uno o varios grupos hacker están lanzando una serie de ciberataques sobre empresas de todo el mundo. Los ataques consisten en suplantar la identidad de uno de los ejecutivos de la compañía o alguno de sus clientes con la finalidad de cometer un acto de Fraude ejecutivo (CEO Fraud).

Según el FBI, las estafas llevadas a cabo mediante suplantación de la identidad van en rápido aumento y desde 2016 han provocado pérdidas económicas en todo el mundo de 26.000 millones de dólares. Hace apenas 1 mes, el 10 de septiembre, el departamento de justicia de los Estados Unidos anunciaba el arresto de 281 personas en todo el mundo en una operación coordinada dirigida a personas implicadas en este fraude de correo electrónico corporativo. Ha sido la acción más grande de este tipo jamás realizada. En general, las estafas en las que se compromete el correo electrónico, son el tipo de cibercrimen que más perdidas económicas a nivel mundial provoca y que más preocupan a expertos en cibercrimen.

Paradójicamente, el tipo de ciberataque y estafa que nos ocupa es la más fácil de llevar a cabo por hackers y la menos «tecnológica» por así decirlo por lo que cualquier persona con la habilidad necesaria y prácticamente sin conocimientos informáticos, puede llevarla a cabo. Los ataques emplean más bien la ingeniería social y picardía para llevarse a cabo.

Ceo Fraud a través del Spoofing del Email

¿En qué consiste el CEO Fraud a través del correo electrónico?

Veamos un ejemplo clásico de CEO Fraud perpretado a través de spoofing del email:

  • Trabajas en el departamento administrativo de tu empresa. Eres el encargado de realizar los pagos y cobros en tu empresa.
  • Estás pendiente de que Mecanizados Rodolfo os envíe un número de cuenta para que podáis pagar el pedido que acabáis de realizar.
  • Recibes un correo de tu jefe (un impostor) indicándote que debes realizar la transferencia para el pedido de Mecanizados Rodolfo al número de cuenta indicado. Realizas la operación indicada.
  • Pasan los días y Mecanizados Rodolfo os llama preguntando porqué no se ha efectuado el pago del pedido.

El dinero se envió pero a dónde ya es otra cuestión.

Básicamente, el cibercriminal suplanta la dirección de correo de uno de los jefes de una empresa, enviando un correo a un empleado de la compañía. El empleado recibe un correo que piensa que procede de su jefe, sin embargo procede de alguien que está suplantando la identidad del jefe. En muchas ocasiones, el correo incluye hasta la misma firma de correo o sello de la empresa por lo que es difícil que alguien sospeche que el email no es legítimo. El objetivo del email suele ser el de dar instrucciones para efectuar alguna operación como la de realizar una transferencia bancaria.

El email falso del impostor suele intentar proceder de la empresa de la víctima pero también puede intentar suplantar la identidad del propio cliente o un proveedor. A efectos prácticos es parecido con la salvedad de que el hacker ha obtenido datos de dos empresas y no solo una para perpetrar la estafa.

Otros motivos para estar alerta del fraude ejecutivo

Existen muchas formas y variantes de este tipo de estafa y varios escenarios en los que igualmente hay que estar alerta aunque no seas la víctima directa.

En ocasiones una empresa es alertada por un cliente o proveedor, que en este caso es la víctima, de estar recibiendo correos suyos realizando algún tipo de petición sospechosa. Si este es tu caso y un cliente te avisa de estar recibiendo correos tuyos que no lo son, es muy importante estar igualmente en alerta. El impostor también habrá recopilado datos de tu empresa para efectuar los ciberataques aunque la víctima sea otra.

¿Cómo se hace spoofing con el correo electrónico?

Con la existencia de correos Web gratuitos, manipular el campo «desde» es muy fácil y no requiere de ningún conocimiento informático. El atacante descubre el nombre de alguna persona de una organización o persona con algún cargo de autoridad y se da de alta en un servicio de correo utilizando ese nombre. El atacante puede ir más lejos incluso y utilizar información disponible desde fuentes públicas como Linkedin o la propia Web de la víctima para aportar más datos y parecer más legítimo.

Los correos electrónicos cuando se envían tienen 2 campos importantes: El nombre de remitente y el email del remitente. El campo que suele manipularse es el del nombre del remitente dado que manipular el email es mucho más complicado y requiere de conocimientos informáticos.

Muchos clientes de correo como Gmail o Hotmail/Outlook, solo muestran el campo de nombre del remitente con lo cual no es posible que vuestros clientes sepan distinguir de donde proviene realmente el correo a simple vista. Salvo que inspeccionen la cabecera o código del email, suelen creer que procede de donde indica el campo «nombre de remitente» y por ese motivo tiene éxito la ciberestafa.

¿Qué pasos deben darse ante una estafa que emplea la suplantación de indentidad?

  • Siempre es conveniente detenerse 1 minuto y fijarse en los correos electrónicos fraudulentos para tratar de averiguar si estamos ante un correo totalmente generado por un automatismo (script) o si es verdaderamente un intento de suplantación de identidad realizado de manera manual y personal por alguien que te ha podido investigar. Para esto, es suficiente con fijarse un poco en el contenido del correo y lenguaje utilizado. Si el Email incluye una firma de correo con la identidad de otra empresa y sello, significa casi siempre que alguien se ha tomado tiempo en efectuar el intento de estafa.
  • Aunque no hayan sido comprometidas las contraseñas de nuestros correos electrónicos, como simple medida de seguridad preventiva, es conveniente cambiar todas las contraseñas de correo de los buzones de correo de la empresa.
  • De ser posible, es buena idea aprovechar e introducir una nueva firma de correo electrónico o pequeña variación en la misma después de cambiar las contraseñas de los buzones.
  • Si se cree que el email recibido o enviado es una acción manual realizada por alguien intentando suplantar la identidad de la empresa, es conveniente una denuncia formal ante la policía.

Existen multitud de dudas que habitualmente generan incertidumbre en las empresas y que tienen que ver generalmente con la legitimidad del correo electrónico que reciben en su bandeja de entrada. Sin embargo, en esta ocasión estamos ante uno de los problemas más graves y sobre el que conviene actuar de inmediato, realizando una serie de acciones básicas como las descritas junto a estas líneas.

 

¿Te ha parecido interesante esta publicación? ¿Estás interesado en todo lo relativo a noticias de ciberseguridad? Visita nuestra sección de Ciberseguridad en Social Futuro para más publicaciones como esta. ¡Y no olvides dejar tu opinión!