Frau del CEO? Identifiques el terme i com prevenir-lo? És una estafa que té com a objectiu enganyar empleats perquè paguin una factura o realitzin una transferència des del compte de l'empresa a un compte del cibercriminal.

Pot afectar qualsevol empleat d'una companyia, especialment aquells que tenen accés als recursos econòmics i financers o que estan autoritzats per emetre pagaments per transferència. Repassem el modus operandi, les pràctiques més comunes i, sobretot, com evitar-lo.

Com es produeixen aquestes estafes?

Una vegada coneixes les diferents formes d'actuar dels ciberatacants és senzill posar-li nom i evitar una pràctica que, a més, és cada vegada més habitual. Aquesta estafa pot començar amb un simple correu electrònic: 

 1. Es rep un correu suposadament d'un altre empleat o del cap en el qual demana ajut amb una operació confidencial i urgent.

 2. El ciberdelincuent fa servir una adreça electrònica semblant a la legítima o fins i tot suplantada.

 3. El contingut transmet sensació d'autoritat i d'urgència i incita a actuar ràpidament i en secret, evitant així que la informació pugui arribar a altres empleats. 

 4. L'objectiu final és enganyar la víctima perquè realitzi una o diverses transferències d'altes quanties al compte del criminal, pensant que està realitzant una operació lícita.

En aquest tipus d'atacs, coneguts com d'enginyeria social, adreçats a empleats d'una organització en particular, els estafadors solen recopilar tota la informació possible per avançat per conèixer bé com funciona l'empresa i que els seus missatges resultin creïbles. La majoria dels casos es produeixen per correu electrònic, tot i que darrerament també s'han donat casos a través de trucades telefòniques. De no adonar-se de l'engany, es podria revelar informació confidencial, com ara les claus d'accés a la banca en línia, i arribar a produir-se l'estafa amb un alt impacte econòmic i fins i tot reputacional per a l'organització.

Pràctiques enganyoses més habituals

Quines són les formes més habituals d'actuar dels atacants per cometre el frau del CEO? Aquests són dos dels exemples més comuns:

  1. Es posen en contacte fent-se passar per un directiu per a una compra o operació comercial urgent i secreta, on es requereix rapidesa i discreció. Moltes vegades aprofiten que el CEO està de viatge o saben que no contestarà el telèfon durant cert temps.
  2. Es posen en contacte fent-se passar per un proveïdor que, de forma urgent, requereix canviar el compte corrent per al proper pagament. Compte! Coneixen moltes dades sobre l'empresa i el proveïdor.

En aquests casos, els cibercriminals demostren un profund coneixement de la companyia, dels proveïdors i dels seus empleats.

Com podem prevenir-lo

  • Si tens sospites sobre la veracitat de la identitat de qui et sol·licita l'operació, posa-t'hi en contacte per un altre mitjà. Si t'han remès un correu electrònic, truca a aquesta persona o companyia directament per telèfon. Si es tracta d'un proveïdor des d'un número no habitual, penja i truca tu al seu número conegut.
  • Ves amb compte especialment amb peticions de transferències a comptes estrangers si aquest fet no és habitual per a aquest tipus d'operacions.
  • Revisa els missatges que reps i comprova si hi ha senyals de phishing. Aprèn com identificar un correu d'aquestes característiques.
  • Si reps un missatge inesperat aparentment d'un empleat, en el qual et demana informació confidencial o realitzar alguna operació bancària de forma urgent, no responguis i no facilitis informació.
  • Verifica els missatges i les peticions d'operacions bancàries amb diverses persones de la teva organització per a assegurar-ne la veracitat.
  • Per evitar l'accés de programari maliciós espia als dispositius i que puguin llegir els correus electrònics o es produeixi una infecció dels sistemes, mantingues el sistema operatiu i les aplicacions sempre actualitzades.
  • No publiquis informació de la feina a les xarxes socials, com ara el correu corporatiu, el departament per al qual treballes i les funcions que realitzes, la ubicació de l'oficina, els companys de feina, etc.

Què he de fer si he estat víctima d'aquest frau en línia?

Des de la Policia Nacional, conscients de l'extensió d'aquest tipus de frau, insisteixen en les principals recomanacions de seguretat, que passen per desconfiar d'aquest tipus de comunicacions, consultar i comprovar la petició rebuda per altres canals i parar atenció als correus dels remitents. Els correus fraudulents són enviats des d'una adreça electrònica gairebé idèntica a la del cap o emissari habitual, i només varia un caràcter.

Però si tot i així les precaucions i filtres previs no impedeixen que siguis víctima del frau del CEO, el Ministeri d'Interior recomana el que has de fer:

  • Anota els correus i telèfons des dels quals han rebut la comunicació.

  • Pren nota dels comptes en els quals s'ha realitzat l'ingrés i recopila tota la informació que pugui ser rellevant i permeti el rastreig dels atacants.

  • Denuncia els fets.

Després de realitzar la denúncia, un segon pas podria ser sensibilitzar i conscienciar els empleats sobre diferents tècniques de protecció i bones pràctiques de seguretat de la informació i, com aconsella la Policia Nacional, implantar procediments segurs per realitzar els pagaments que requereixin d'una doble verificació.

És important conèixer les diferents tècniques de frau que fan servir els ciberdelincuents i que aquesta informació sigui accessible per a tots els membres de la companyia. Així es podrà captar qualsevol indici d'atac d'enginyeria social i informar a la primera sospita amb l'objectiu d'evitar danys i pèrdues importants per al negoci. Recorda: la seguretat de l'empresa és responsabilitat de tots.

Valorar aquest article

Tu valoración ha sido guardada.

${loading}
×